日本語
Contact Us

プラットフォーム

ソリューション

お客様

パートナー

ブログ

その他

デモを開始caret-right

連絡先 (EN)caret-right
caret-left Back

Reveal(x)

Deployment Model

SaaS-Based Solution >

On-Premises Solution >

Security

Network Detection and Response >

Intrusion Detection System >

Forensics >

Performance

Network Performance Monitoring >

Forensics >
caret-left Back

ソリューション

Learn More

Use Cases

Explore By Industry Vertical
caret-left Back

お客様

顧客向けリソース、トレーニング、
ケーススタディーなどはこちらです。

Learn More

Customer Community

Cybersecurity Services

ExtraHop Support
caret-left Back

パートナー

パートナー向けリソースと、当社チャネルおよびテクノロジーパートナーに関する情報。

Learn More

Work With Us! Become a Partner

Integrations and Automations

Partners
caret-left Back

ブログ

Learn More
caret-left Back

ExtraHopについて

ニュールーム

キャリア概要

リソース

caret-left Back

ExtraHopについて

当社の革新的なアプローチから企業文化まで、企業としてのExtraHopの特徴をご覧ください。

Learn More

お問い合わせ

caret-left Back

ニュールーム

最新のニュースと情報

Learn More

Sign Up for a Live Attack Simulation

Upcoming Webinars and Events

caret-left Back

キャリア概要

私たちは自分の取り組んでいることを信じています。一緒に働く準備はできていますか?

Learn More

キャリア概要

募集中のポジションを見る

LinkedInでつながる

caret-left Back

リソース

リソースアーカイブ全体を検索し、ホワイトペーパー、レポート、データシートなどを探す。

All Resources

Customer Stories & Case Studies

Ransomware Attacks in 2021: A Retrospective

Cyberattack Glossary

Network Protocols Glossary

ドキュメンテーション

ファームウェア

トレーニングビデオ

back caretBlog

脆弱性「PrintNightmare」: 検知、詳細、および緩和策

ExtraHopは現在、最近のPrintNightmare脆弱性を利用した攻撃を検知するための仕組みを開発しています。7月2日(金)現在、この問題にはまだパッチがリリースされていません。ExtraHopは引き続き状況を監視していきます。また、今回の脆弱性と適切な対応について説明したThreat Briefingを公開しています。

最近、Windows Print Spoolerサービスに関する複数の脆弱性が公開され、混乱を招いています。最新のゼロデイ脆弱性CVE-2021-34527は、一般に公開されたコードがあり、積極的に利用されています。

Print Spoolerサービスは、ほとんどのクライアントおよびサーバープラットフォームでデフォルトで有効になっているため、Windowsへの影響は広範囲に及びます。ExtraHopの脅威調査データによると、93%の環境がPrintNightmareの影響を受ける可能性があり、SolarWinds以来の深刻な問題となっています。

どのPrint Spooler関連の脆弱性か?

以前の脆弱性: CVE-2021-1675

マイクロソフト社は、6月にPrint Spoolerサービスに関連する別の脆弱性を公開しました。この脆弱性にはパッチが適用されましたが、別の悪用技術や、誤って共有されたエクスプロイトが複雑に絡み合い、パッチが適用されたシステムでも、より最近公開されたCVE-2021-34527の影響を受ける可能性があります。

PrintNightmare Vulnerability

現在: CVE-2021-34527

木曜日に公開された最新の脆弱性は、ドメインコントローラー上でシステムレベルの権限を取得することができるため、特に深刻です。攻撃者はリモートコードを実行して、プログラムのインストール、データの変更、完全なユーザー権限を持つ新しいアカウントの作成を行うことができます。さらなるアップデートが利用可能になるまで、Windowsドメインコントローラおよび重要なシステムにおいて、Print Spoolerサービスを直ちに無効にする必要があります。

PrintNightmareの仕組み

CVE-2021-34527 について、マイクロソフトは「Windows Print Spooler サービスが特権での不適切なファイル操作によるもので、エクスプロイトに成功した攻撃者はリモートからSYSTEM権限で任意のコード実行が可能になる。」 と開示しています。

この脆弱性は、システムにプリンタ・ドライバをインストールするために使用されるRpcAddPrinterDriverEx()関数を利用しています。マイクロソフトの環境では、この機能を利用することで、認証されたユーザーが新しいプリンタードライバーをインストールすることができます。PrintNightmareは、この機能を悪用することでローカルまたはリモートサーバーに存在する悪意のあるドライバーファイルを指定し、攻撃者にPrint Spoolerサービスで任意のコードを実行させることができます。

PrintNightmare CVEを悪用するには、まずRpcAddPrinterDriverEx()関数をリモートで呼び出し、悪意のあるDLLを暗号化されたプロトコルで渡します。この方法により、攻撃者はSYSTEMレベルの権限で悪意のあるコードをインストールすることができます。ドメインコントローラを標的とすることで、攻撃者は重要なシステムへの足がかりを得ることができ、プログラムのインストール、データの変更、完全なユーザー権限を持つ新しいアカウントの作成などが可能になります。

検知と復号化

ExtraHopは現在、このCVEに対応した専用の検知ロジックをテストしており、本日中に提供を開始する予定です。Reveal(x)はすでに、ドメインコントローラとの間のネットワークトラフィックを監視し、顧客環境内のActive Directoryの活動を追跡しています。Reveal(x)は、このデータをもとにクラウドベースの機械学習を行い、横展開やネットワーク特権の昇格を示す異常な動作パターンを検知します。仮に攻撃者がドメインコントローラ上でリモートコード実行機能を獲得したとしても、Reveal(x)はその後の悪意のある行動を迅速に検知できる可能性が高いと考えられます。

この悪用行為は、暗号化されたプロトコル内で発生する可能性があり、可視化と検知の課題となっています。ExtraHopのお客様は、TLS1.3を含む業界標準のプロトコルを復号化する機能を持っており、監視が困難なアクティビティの可視性を高めることができます。また、MS-RPCなどの一般的なマイクロソフト社のプロトコルを含む75以上のプロトコルを完全に解析することができるため、より詳細な分析や、最も一般的に使用されているネットワークプロトコルのフォレンジックレベルのメタデータを作成することができます。

ExtraHop Reveal(x) Live Activity Map

Stop Breaches 87% Faster

Investigate a live attack in the full product demo of ExtraHop Reveal(x), network detection and response, to see how it accelerates workflows.

Start Demo

Sign Up to Stay Informed