脅威リサーチ

フォーティネット、Microsoft PrintNightmareの脆弱性に対するIPSシグネチャを公開

投稿者 FortiGuard Labs | 2021年7月2日

FortiGuard Labs Breaking Update

「PrintNightmare」と名付けられたマイクロソフトのゼロデイ脆弱性は、認証された攻撃者であれば誰でも、Windows印刷スプーラーサービスが有効(デフォルト設定)になっているマシン上で、SYSTEM権限でリモートでコードを実行できる可能性があります。セキュリティ研究者は当初、この脆弱性は、2021年6月8日のMicrosoft Patch Tuesdayで初めて公開されたCVE-2021-1675(Windows 印刷スプーラーのリモートでコードが実行される脆弱性)と関連していると考えていました。しかし、今、これが同じ問題なのか、それとも新たなゼロデイ脆弱性なのか、疑問視されています。

先週、中国のセキュリティ企業であるQiAnXin Technologyの研究者が、CVE-2021-1675を悪用した概念実証のビデオを公開し、この脆弱性がローカルおよびリモートの両方で悪用できることを明らかにしました。QiAnXinは、この概念実証が公開された後、6月21日にマイクロソフトが、当初ローカルでしか利用できないとされていたこの脆弱性のタイトルを、このリモートコード実行の側面を反映したものに変更したことに気付きました。また、脆弱性のステータスも、当初の「深刻度: High、特権の昇格」から「深刻度: Critical、リモートコード実行」に変更されています。この混乱に加えて、マイクロソフトが発表したCVE-2021-1675の記事では、ローカルな脆弱性であることが明記されています

さらに、Sangfor Securityの脅威研究者は、QiAnXinとは別に、独自のプルーフオブコンセプトコードを開発し、今週火曜日(6月29日)にGithubに投稿しました。この詳細な概念実証はその後削除されましたが、キャッシュされた複数のコピーがまだ存在しています。この情報は、今後の攻撃に活用されることが予想されます。

マイクロソフトは、この脆弱性がCVE-2021-1675のバリエーションなのか、それとも全く新しい脆弱性なのかを確認する公式声明をまだ出していません。しかし、Bleeping Computerによると、PrintNightmareはCVE-2021-1675と同じものではなく、新しいWindows Print Spoolerのゼロデイ脆弱性であるとのことです。この見解は、完全にパッチが適用されたシステム上でSYSTEM権限によるリモートコード実行を実現したことを確認した複数の脅威研究者からの報告によって裏付けられています。セキュリティ研究者は引き続き調査を行う予定です。

しかし、この調査の結果にかかわらず、現在、この脆弱性に対する新しいパッチも更新パッチも提供されていません。また、現在出回っている概念実証コードは、システムに完全なパッチが適用された後でも、Windows印刷スプーラーを悪用することができます。そのため、管理者は、特にドメインコントローラシステムにおいて、スプーラーサービスを停止し、無効にすることを強くお勧めします。

脆弱性のあるシステム

この脆弱性の影響を受けるWindowsのバージョンは不明です。しかし、Benjamin Delpy氏(MimiKatzの作者)の調査では、Windows 10の最新のWindowsアップデートJune 8, 2021-KB5003646(OS Build 17763.1999)がこの脆弱性の影響を受けることが確認されています。

フォーティネットのソリューション

FortiGuard LabsのIPSチームは、この脆弱性と既知の概念実証コードをカバーしています。

MS.Windows.Print.Spooler.AddPrinterDriver.Privilege.Escalation.

NOTE:FortiGuard Labs IPSチームは、Microsoftが別のCVE名を指定するまで、このシグネチャをCVE-2021-1675に関連するものとします。

この脆弱性に関するFortiGuard Threat Signal Report(脅威シグナルレポート:英語)に、クロスポリネーションの可能性があるための参考として、CVE-2021-1675の影響を受けるシステムの完全なリストなど、追加の詳細情報が記載されています。

FortiGuard Labsは、この脆弱性の概念実証コードが新たに公開されていないか、また、CVE-2021-1675に関連する脅威が該当する場合は、この状況を注意深く監視し続けます。更新情報はThreat Signalレポートに掲載されます。

2021年7月2日現在の更新情報:マイクロソフトは、Windows印刷スプーラーのリモートコード実行の脆弱性に関するアドバイザリを公開しました。

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

マイクロソフトは、この問題に CVE-2021-34527 を割り当てており、悪用を確認しています。このアドバイザリには、印刷スプーラーサービスが実行されているかどうかを判断するための情報と、ワークアラウンドとして減災のためのステップが記載されています。

FortiGuard Labsは今後も状況を監視し、状況に応じて最新情報を提供していきます。