マイクロソフトは、最新バージョンのWindows10のWindowsPrint Spooler Print Nightmareの脆弱性を修正するパッチKB5004945をリリースしました。また、この問題の影響を受ける他のバージョンのWindowsのパッチKB5004946、KB500497、KB5004948、KB5004959、KB5004960、およびKB5004951もリリースしました。
プリントナイトメアとは何ですか?
MicrosoftによってCVE-2021-34527の名称で確認されたPrintNightmareのセキュリティホールは、過去にWindowsコンピュータで蔓延しており、攻撃者はこれを介して印刷スプーラサービスの脆弱性を悪用しました。 攻撃が成功した後、攻撃者はシステム権限を持つ任意のコードを実行する可能性があります。 マイクロソフトはこのギャップを「重大」と分類し、問題を取り除くはずのパッチをすぐにリリースしました。このパッチは現在、すべてのWindowsバージョンで利用できます。
Print Nighmareは修正されていますか?
Microsoftによってリリースされた新しいセキュリティ更新プログラムは、Windowsバージョン7以降のPrintNightmareを修正します。 以下を読んで関連するパッチを見つけ、ダウンロードして、コンピューターのPrintNightmareの脆弱性を修正してください。 一部の研究者は、最新の印刷スプーラーパッチをバイパスできると述べています。 Microsoftは、問題のリモートコード実行(RCE)の部分を修正しましたが、ローカル権限昇格(LPE)の穴は残っているようです。
マイクロソフトのスポークスパーソンは、同社はクレームを認識しており、調査中であると述べましたが、現時点ではバイパスについては認識していません。 広報担当者は次のように付け加えました。「管理者がデフォルトのレジストリ設定を安全でない構成に変更した場合、バイパスの申し立てがあります。 システムを保護するために必要な設定の詳細については、CVE-2021-34527ガイダンスを参照してください。 調査で追加の問題が特定された場合は、お客様を保護するために必要に応じて措置を講じます。」
そもそも、Print Nightmareのセキュリティホールはどのようにして発見されたのですか?
マイクロソフトは6月に同様の脆弱性を解消しました。 ブラックハットハッキング会議を見越して、研究者はこの脆弱性がどのように悪用される可能性があるかについてのサンプルコードを公開しました。 –致命的に、これらのエクスプロイトコードは、すでに埋められていたセキュリティギャップではなく、新しい脆弱性を参照していました。 これらのコードはすでにオフラインになっていますが、インターネットは何も忘れません。
Windows7以降のシステムのPrintNightmareの脆弱性を修正するパッチをダウンロードする
- Windows 10、バージョン21H1(KB5004945)
- Windows 10、バージョン20H1(KB5004945)
- Windows 10、バージョン2004(KB5004945)
- Windows 10、バージョン1909(KB5004946)
- Windows10バージョン1809およびWindowsServer 2019(KB5004947)
- Windows 10バージョン1803(KB5004949)
- Windows10バージョン1607およびWindowsServer 2016(KB5004948)
- Windows 10バージョン1507(KB5004950)
- Windows Server 2012(月次アドオンパッケージKB5004956 /セキュリティのみKB5004960)
- Windows8.1およびWindowsServer 2012 R2(月次アドオンパッケージKB5004954 /セキュリティのみKB5004958)
- Windows 7SP1およびWindowsServer 2008 R2 SP1(月次アドオンパックKB5004953 /セキュリティのみKB5004951)
- Windows Server 2008 SP2(月次アドオンパッケージKB5004955 /セキュリティのみKB5004959)
Microsoftは、Windowsメッセージセンターで、「影響を受けるすべてのバージョンのWindowsについて、まだサポートされているアップデートがリリースされた」と述べています。
最近リリースされたMicrosoftの修正 #PrintNightmare 脆弱性はリモートベクトルに対処しますが、LPEのバリエーションは引き続き機能します。 これらはWindows7、8、8.1、2008、および2012ですぐに機能しますが、Windows 2016、2019、10、および11(?)用に構成されたPoint&Printが必要です。
https://t.co/PRO3p99CFo
—ハッカーファンタスティック(@hackerfantastic) 2021年7月6日
キーCVE-2021-34527を使用したPrintNightmareの脆弱性は、重大な**脅威であり、Print Queue ServiceがRpcAddPrinterDriverEx関数へのアクセスを制限していないために発生します。これにより、リモートで認証された悪意のある攻撃者がコードをリモートで実行できる可能性があります。コンピューター上で。
問題は、このパッチが不完全であることです。セキュリティ研究者は、パッチを適用しても、リモートでコードが実行され、ローカル権限を取得できることを発見しました。
この点に関して、Bleeping Computerで報告されているように、0patchブログは、PrintNightmareによって引き起こされる問題に対処し、脆弱性を悪用する試みを正常にブロックできる小さな非公式の無料パッチを公開しています。
この意味で、これらのパッチをインストールしていない場合は、その時点ですでに確認した推奨事項に従うことをお勧めします。プリンタがない場合、またはプリンタがない場合は、「印刷キュー」サービスを無効にしてください。プリンターをお持ちの場合は、[グループポリシーの編集]に移動し、[コンピューターの構成]を選択してから、[管理用テンプレート]をクリックし、[プリンター]を選択して、[印刷ジョブマネージャーにクライアント接続の受け入れを許可する]オプションを無効にします。