Microsoft、Windows のゼロデイ脆弱性「PrintNightmare」を修正する更新プログラムを緊急リリース 9
ストーリー by headless
緊急 部門より
緊急 部門より
Microsoft は 6 日と 7 日、Windows の Print Spooler で発見された脆弱性「PrintNightmare」の修正を含むセキュリティ更新プログラムを定例外でリリースした(Windows message center、
CVE-2021-34527、
Microsoft Security Response Center
のブログ記事)。
PrintNightmare は Print Spooler サービスが特権のあるファイル操作を適切に処理しないため、リモートから SYSTEM の権限で任意コード実行が可能になるというもので、Windows 7 SP1 / Server 2008 / 2008 R2 を含む現在サポートされるすべての Windows バージョンが影響を受ける。発見者が 6 月の月例更新で修正された脆弱性と取り違え、修正済みだと思って PoC を公開してしまったため、ゼロデイ脆弱性となっていた。
6日に更新プログラムの提供が開始されたのは、Windows 10 バージョン 2004 / 20H1 / 21H1 (KB5004945)・バージョン 1909 (KB5004946)・バージョン 1809 / Server 2019 (KB5004947)・バージョン 1507 (KB5004950) のほか、Windows 8.1 / Server 2012 (マンスリーロールアップ KB5004954 / セキュリティのみの更新プログラム KB5004958、以下同)・Windows 7 SP1 / Server 2008 R2 SP1 (KB5004953 / KB5004951)・Windows Server 2008 SP2 (KB5004955 / KB5004959) となっている。7日にはWindows 10 バージョン 1607 (KB5004948) と Windows Server 2012 (KB5004956 / KB5004960) への提供も開始された。自動更新が有効になっていれば自動で適用されるため、何もする必要はない。8 日に提供が始まったWindows 11 Insider Preview ビルド 22000.65 にも修正が含まれる。
なお、更新プログラムを適用しても完全には脆弱性が修正されないとも報告されている。Microsoft の調べによれば更新プログラムは意図したとおりに機能しており、脆弱性が修正されないとの報告はポイント アンド プリントの安全性を低下させるレジストリ設定に依存するという。ただし、更新プログラムはこのようなレジストリ設定を変更しないため、適用後にレジストリ設定を確認する必要がある。該当のレジストリキーは「HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint」で、DWORD 値「NoWarningNoElevationOnInstall」および「UpdatePromptSettings」が存在しないか、値のデータが「0」であれば問題ない。デフォルトではレジストリキー自体が存在しないはずだ。また、グループポリシーの「コンピューターの構成→管理用テンプレート→プリンター」で「ポイント アンド プリントの制限」は未構成であれば問題ないが、KB5005010 には有効にしてセキュアな設定にする手順も記載されている。
PrintNightmare は Print Spooler サービスが特権のあるファイル操作を適切に処理しないため、リモートから SYSTEM の権限で任意コード実行が可能になるというもので、Windows 7 SP1 / Server 2008 / 2008 R2 を含む現在サポートされるすべての Windows バージョンが影響を受ける。発見者が 6 月の月例更新で修正された脆弱性と取り違え、修正済みだと思って PoC を公開してしまったため、ゼロデイ脆弱性となっていた。
6日に更新プログラムの提供が開始されたのは、Windows 10 バージョン 2004 / 20H1 / 21H1 (KB5004945)・バージョン 1909 (KB5004946)・バージョン 1809 / Server 2019 (KB5004947)・バージョン 1507 (KB5004950) のほか、Windows 8.1 / Server 2012 (マンスリーロールアップ KB5004954 / セキュリティのみの更新プログラム KB5004958、以下同)・Windows 7 SP1 / Server 2008 R2 SP1 (KB5004953 / KB5004951)・Windows Server 2008 SP2 (KB5004955 / KB5004959) となっている。7日にはWindows 10 バージョン 1607 (KB5004948) と Windows Server 2012 (KB5004956 / KB5004960) への提供も開始された。自動更新が有効になっていれば自動で適用されるため、何もする必要はない。8 日に提供が始まったWindows 11 Insider Preview ビルド 22000.65 にも修正が含まれる。
なお、更新プログラムを適用しても完全には脆弱性が修正されないとも報告されている。Microsoft の調べによれば更新プログラムは意図したとおりに機能しており、脆弱性が修正されないとの報告はポイント アンド プリントの安全性を低下させるレジストリ設定に依存するという。ただし、更新プログラムはこのようなレジストリ設定を変更しないため、適用後にレジストリ設定を確認する必要がある。該当のレジストリキーは「HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint」で、DWORD 値「NoWarningNoElevationOnInstall」および「UpdatePromptSettings」が存在しないか、値のデータが「0」であれば問題ない。デフォルトではレジストリキー自体が存在しないはずだ。また、グループポリシーの「コンピューターの構成→管理用テンプレート→プリンター」で「ポイント アンド プリントの制限」は未構成であれば問題ないが、KB5005010 には有効にしてセキュアな設定にする手順も記載されている。