JVNVU#96414899
Microsoft Windowsの印刷スプーラーにリモートコード実行の脆弱性
Microsoft WindowsのPrint Spoolerサービスには、特権的なファイル操作を不適切に実施した場合、リモートコード実行が可能となる脆弱性があります。
2021年8月16日時点では、影響バージョンは調査中とのことです。
詳しくはMicrosoftが公開している情報を参照ください。
Print Spoolerサービスは、印刷において印刷待ちを実現するためのサービスです。2021年8月10日にリリースされたセキュリティ更新プログラムを適用していないMicrosoft Windowsにおいて、管理者権限を持たないユーザが要求した場合であってもPrint SpoolerサービスはプリンタードライバーをSYSTEM権限でインストールします。また、Microsoft Windowsは、プリンタードライバーをインストールする際にドライバーパッケージが信頼できるソースによって署名されていることを検証しますが、Windowsのプリンタードライバーはデバイスの使用に関するqueue-spesificファイルを指定でき、このファイルへの署名の検証は要求されません。
そのため、例えばプリンタドライバのインストール時に、これらのファイルを用いることですでにシステムに配置されている署名検証済みのファイルを上書きし、リモートのプリンター側にファイル内のコードを自動的に実行するように設定することで、結果としてローカルでの権限昇格が可能です。
第三者が、Microsoft Windowsを細工したプリンターに接続することで、SYSTEM権限で任意のコードを実行する可能性があります。
2021年8月16日時点では、脆弱性を修正したバージョンはリリースされておらず、準備中とのことです。
詳しくはMicrosoftが公開している情報を参照ください。
ワークアラウンドを実施する
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。
- Print Spoolerサービスを停止し、無効にする
また、CERT/CCより次のワークアラウンドが提示されています。
- 外部ネットワークへのSMB通信をブロックする(同一ネットワーク内からのSMB共有による攻撃は軽減できません)
- 管理者以外のユーザーがPoint and Pointを利用して、プリンターをインストールする際に使用可能なサーバを制限する
- SYSTEMアカウントがC:WindowsSystem32spool\\driversディレクトリの内容を変更できないよう制限する
-
Vulnerability Note VU#131152
Microsoft Windows Print Spooler Point and Print allows installation of arbitrary queue-specific files
| 攻撃元区分(AV) | 物理 (P) | ローカル (L) | 隣接 (A) | ネットワーク (N) |
|---|---|---|---|---|
| 攻撃条件の複雑さ(AC) | 高 (H) | 低 (L) | ||
| 必要な特権レベル(PR) | 高 (H) | 低 (L) | 不要 (N) | |
| ユーザ関与レベル(UI) | 要 (R) | 不要 (N) | ||
| スコープ(S) | 変更なし (U) | 変更あり (C) | ||
| 機密性への影響(C) | なし (N) | 低 (L) | 高 (H) | |
| 完全性への影響(I) | なし (N) | 低 (L) | 高 (H) | |
| 可用性への影響(A) | なし (N) | 低 (L) | 高 (H) |
