【活用ガイド】

JVNDB-2021-001967

Microsoft Windows の印刷スプーラーにリモートコード実行の脆弱性

概要

Microsoft Windows の Print Spooler サービスには、RpcAddPrinterDriverEx() 関数のアクセス制限の不備に起因するリモートコード実行の脆弱性が存在します。

Print Spooler サービスは、印刷において印刷待ちを実現するためのサービスです。RpcAddPrinterDriverEx() 関数は、上記サービスでプリンタドライバのインストールに用いられます。パラメータ DRIVER_CONTAINER オブジェクトとパラメータ dwFileCopyFlags によって、インストールするプリンタドライバとファイルのコピー方法を制御しています。
認証ユーザであれば、RpcAddPrinterDriverEx() 関数を実行可能です。そのため、認証情報を取得した攻撃者は、リモートサーバ上のドライバを指定し、インストールできます。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 8.8 (重要) [その他]
  • 攻撃元区分: ネットワーク
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 低
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 高
  • 完全性への影響(I): 高
  • 可用性への影響(A): 高
影響を受けるシステム


マイクロソフト
  • Microsoft Windows 10
  • Microsoft Windows 7
  • Microsoft Windows 8.1
  • Microsoft Windows RT 8.1
  • Microsoft Windows Server
  • Microsoft Windows Server 2008
  • Microsoft Windows Server 2008 R2
  • Microsoft Windows Server 2012
  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2016
  • Microsoft Windows Server 2019

詳しくはMicrosoftが公開している情報を参照ください。
想定される影響

認証された遠隔の第三者によって、SYSTEM 権限で任意のコードを実行される可能性があります。
対策

[アップデートする]
Microsoftが公開している情報をもとに、最新版へアップデートしてください。
またMicrosoftは、アップデート実施後に以下の設定を実施することを推奨しています。
詳しくは、KB5005010 の内容を参照ください。

 * グループポリシーを使用して、ポイント アンド プリントを無効にする
 * 非管理者アカウントがプリンタドライバをインストールできないよう制限する

[ワークアラウンドを実施する]
次のワークアラウンドを実施することで、本脆弱性の影響を軽減することが可能です。

 * Print Spooler サービスを停止し、無効にする
 * グループポリシーを使用して、インバウンドからのリモート印刷を無効にする
ベンダ情報

マイクロソフト
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 不適切な権限管理(CWE-269) [NVD評価]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2021-34527
参考情報

  1. JVN : JVNVU#96262037
  2. National Vulnerability Database (NVD) : CVE-2021-34527
  3. IPA 重要なセキュリティ情報 : Microsoft Windows 製品の Windows Print Spooler の脆弱性対策について(CVE-2021-34527)
  4. JPCERT 注意喚起 : JPCERT-AT-2021-0029
  5. US-CERT Vulnerability Note : VU#383432
  6. US-CERT Current Activity : PrintNightmare, Critical Windows Print Spooler Vulnerability
  7. CISA Known Exploited Vulnerabilities Catalog : CVE-2021-34527
更新履歴

  • [2021年07月06日]
      掲載
  • [2021年07月08日]
      対策:内容を更新
      ベンダ情報:マイクロソフト (Windows Print Spooler の脆弱性情報 (CVE-2021-34527) に対するセキュリティ更新プログラムの定例外での公開) を追加
      ベンダ情報:マイクロソフト (ポイント アンド プリントの概要) を追加
      ベンダ情報:マイクロソフト (KB5005010: Restricting installation of new printer drivers after applying the July 6, 2021 updates) を追加