「Microsoftの印刷スプーラ脆弱性対策は不十分」と複数セキュリティ研究者が指摘

グループ ポリシーでポイント アンド プリントの制限を有効にすると、PrintNightmare脆弱性のリモートコード実行攻撃はできてしまうという

　Microsoftは6日(現地時間)に、印刷スプーラーの脆弱性「PrintNightmare」に対処するパッチ「KB5004945」を配布開始したが、複数のセキュリティ研究者からは、このパッチは不完全であるという指摘がある。

　CERT/CC脆弱性アナリストのWill Dormann氏によると、パッチはSMBおよびPRCバリアントによる攻撃を防御できたが、LPE(ローカル権限昇格)による攻撃は防げなかったという。

And based on testing of the first VM of mine that completed the install of the update (Windows 8.1), it looks like it works against both the SMB and the RPC variants in the@cube0x0github repo. I don't think that LPE is fixed, though.@hackerfantastic's PoC still works.
😕pic.twitter.com/tDQpagUTRf

— Will Dormann (@wdormann)July 6, 2021

　加えて、フランスのセキュリティ攻撃ツール「mimikatz」の開発者Benjamin Delpy氏によれば、グループポリシーで「ポイント アンド プリントの制限」を「有効」に設定した場合、リモートコード実行(RCE)による攻撃も成功できたという。

Dealing with strings & filenames is hard😉
New function in#mimikatz🥝to normalize filenames (bypassing checks by using UNC instead of \servershare format)

So a RCE (and LPE) with#printnightmareon a fully patched server, with Point & Print enabled

>https://t.co/Wzb5GAfWfdpic.twitter.com/HTDf004N7r

— 🥝 Benjamin Delpy (@gentilkiwi)July 7, 2021

　PrintNightmareへの完全な対策はもうしばらく時間かかりそうで、それまでは印刷スプーラーの無効化などで緩和するしかなさそうだ。