Windows の Print Spooler で見つかった脆弱性、研究者の勘違いでゼロデイに 20
ストーリー by headless
研究者を混乱させる攻撃 部門より
研究者を混乱させる攻撃 部門より
Windows の Print Spooler サービスで最近見つかったゼロデイ脆弱性「PrintNightmare」について、Microsoftがセキュリティアドバイザリーを公開している(CVE-2021-34527、 The Verge の記事、 BleepingComputer の記事、 BetaNews の記事)。
PrintNightmare は Print Spooler サービスが特権のあるファイル操作を適切に処理しないことが原因で、リモートから SYSTEM の権限で任意コード実行が可能になるというもの。発見した中国・Sangfor Technologies のセキュリティ研究者は 8 月の Black Hat 2021 USA での発表を予定している。しかし、6月の月例更新で修正された Print Spooler サービスのリモートコード実行脆弱性 (CVE-2021-1675) をこの脆弱性と取り違え、修正済みだと思ってPoCを公開してしまったのだという。研究者は間違いに気付いて PoC を削除したものの、既にアクティブな攻撃が行われているようだ。
影響を受けるのは現在サポートされるすべての Windows バージョンで、Windows 7 SP1 / Server 2008 / 2008 R2 も含まれる。現時点で更新プログラムの提供時期は示されておらず、回避策として Print Spooler サービスの停止および無効化(対策1)と、グループポリシー(コンピューターの構成 → 管理用テンプレート → プリンター)の「印刷スプーラーにクライアント接続の受け入れを許可する」を無効に設定(対策2)の2つの方法が示されている。なお、対策1を適用するとローカル・リモートともに印刷ができなくなる。一方、対策2を適用したシステムはプリントサーバーとしては動作しなくなるが、ローカルでの印刷は可能だ。
サードパーティパッチを提供する 0patch は特に影響が大きい Windows Server 2008 R2 / 2012 / 2016 / 2019 向けマイクロパッチの提供を開始している。0patch によれば Windows 10 への攻撃はドメイン環境で成功せず、非ドメイン環境ではローカルユーザーの認証情報が必要だったという。Windows 7 には影響しないように見えるが、さらなるテストが必要とのこと。2020 年 1 月の更新を適用した Windows Server 2008 R2 も影響を受けるとのことで、脆弱性は少なくとも 1 年半以上前から存在したようだ(0patch Blog の記事)。
PrintNightmare は Print Spooler サービスが特権のあるファイル操作を適切に処理しないことが原因で、リモートから SYSTEM の権限で任意コード実行が可能になるというもの。発見した中国・Sangfor Technologies のセキュリティ研究者は 8 月の Black Hat 2021 USA での発表を予定している。しかし、6月の月例更新で修正された Print Spooler サービスのリモートコード実行脆弱性 (CVE-2021-1675) をこの脆弱性と取り違え、修正済みだと思ってPoCを公開してしまったのだという。研究者は間違いに気付いて PoC を削除したものの、既にアクティブな攻撃が行われているようだ。
影響を受けるのは現在サポートされるすべての Windows バージョンで、Windows 7 SP1 / Server 2008 / 2008 R2 も含まれる。現時点で更新プログラムの提供時期は示されておらず、回避策として Print Spooler サービスの停止および無効化(対策1)と、グループポリシー(コンピューターの構成 → 管理用テンプレート → プリンター)の「印刷スプーラーにクライアント接続の受け入れを許可する」を無効に設定(対策2)の2つの方法が示されている。なお、対策1を適用するとローカル・リモートともに印刷ができなくなる。一方、対策2を適用したシステムはプリントサーバーとしては動作しなくなるが、ローカルでの印刷は可能だ。
サードパーティパッチを提供する 0patch は特に影響が大きい Windows Server 2008 R2 / 2012 / 2016 / 2019 向けマイクロパッチの提供を開始している。0patch によれば Windows 10 への攻撃はドメイン環境で成功せず、非ドメイン環境ではローカルユーザーの認証情報が必要だったという。Windows 7 には影響しないように見えるが、さらなるテストが必要とのこと。2020 年 1 月の更新を適用した Windows Server 2008 R2 も影響を受けるとのことで、脆弱性は少なくとも 1 年半以上前から存在したようだ(0patch Blog の記事)。
どうして……どうして…… (スコア:0)
せめて自分のPoCが効かなくなっていることを確認ぐらいをだな
Re: (スコア:0)
Re: (スコア:0)
これにはProject ZEROもあ然…
くっだらねぇ (スコア:0)
中国の人は報告をしただけで、間違って公開したのはMicrosoftの人ですよ?
Re: (スコア:0)
は? GitHubで間違ってPoC公開したのは中国の研究者だヴォケ
https://webcache.googleusercontent.com/search?q=cache:G8XnfSbgARAJ:htt... [googleusercontent.com]
中国に偏見持ったヴォケと日本語を読めないヴォケしかいねーのか
Re: (スコア:0)
この中国人はどうやってTwitter運用してんのかな
共産党に会社名と一緒に報告したほうがいいのかな
Re: (スコア:0)
やはり日本は親中国
なんでリモートなのにローカルなんだよ (スコア:0)
CVE-2021-1675 - セキュリティ更新プログラム ガイド - Microsoft - Windows 印刷スプーラーのリモートでコードが実行される脆弱性 [microsoft.com]
特権昇格の脆弱性として公開されたあとにこっそりタイトルを差し替えたせいで研究者が混乱したらしいが、ちゃんと説明しろよ
サービス終了サイトの @PAGES跡地から (スコア:0)
変なサイトに飛ばされたあと、プリンタを執拗に要求されたのは、これを使っていたせいか…?
# プリンタを繋いでなかったので ブラウザ終了で回避しました…?
Re:サービス終了サイトの @PAGES跡地から (スコア:1)
君が経験したのはブラウザのプリンタAPIを呼び出してページを戻るのを阻止する詐欺サイトでしょ
それは全然別の話
毎回出ているので別に気しない。 (スコア:0)
これが解消されても、
また次から次へと出てくるだけである。
Windowsにこの手の脆弱性に終わりはない。
Re: (スコア:0)
AppleやGoogleも毎月セキュリティパッチを公開してることに対する見解は?
Apple セキュリティアップデート [apple.com]
Android のセキュリティに関する公開情報 [android.com]
Re:毎回出ているので別に気しない。 (スコア:1)
Re: (スコア:0)
Windows には技術的負債が大量にありますからね…
Print Spooler は 1993 年発売の Windows NT 3.1 からずっと存在しているレガシーな OS コンポーネントではないでしょうか。
Re:毎回出ているので別に気しない。 (スコア:1)
だって、モニタと一緒で平気で保守部品があるからって15年前のプリンタとか使おうとするじゃない。
そりゃ互換性維持のためにコンポーネントもレガシーになりますよ。
Re: (スコア:0)
Windowsにこの手の脆弱性に終わりはない。
Windows10「俺たちの戦いはこれからだ」
MS先生の次回作にご期待ください→Windows11
こうですね