Windowsの印刷スプーラーにリモートでコードを実行できる脆弱性

　米Microsoftは7月1日(現地時間)、Windowsの印刷スプーラーにリモートコード実行の脆弱性(共通脆弱性識別子:CVE-2021-34527)があるとし、注意を促した。

　これは「PrintNightmare」と呼ばれている脆弱性で、印刷スプーラーサービスが不適切なファイル操作を行なう際に、リモートでコードを実行できてしまうもの。攻撃が成功すると、SYSTEM権限で任意のコードを実行できる可能性があり、データの閲覧や変更、削除、または完全な権限を持つユーザーの作成が可能になる。攻撃には印刷スプーラーのRpcAddPrinterDriverEx()ファンクションが使われている。

　同様にRpcAddPrinterDriverEx()を使った脆弱性として「CVE-2021-1675」があったが、こちらは2021年6月のパッチで修正済み。今回のCVE-2021-34527は同じファンクションの脆弱性ではあるが、攻撃のベクトルは異なる。また、パッチ未適用の状態でもこの脆弱性が存在するため、パッチによって新たに引き起こされた脆弱性というわけではない。

　Microsoftは暫定の緩和策として2種類のオプションを用意している。1つは印刷スプーラー自体を無効にする方法だが、この場合はリモート/ローカル関わらず印刷が不可能になる。もう1つはグループポリシーで「印刷スプーラーがクライアントからの接続を許可する」を無効にすること。これによりプリントサーバーとして機能はできないが、ローカルからの印刷は可能だとしている。