back caretBlog

脆弱性「PrintNightmare」: 検知、詳細、および緩和策

ExtraHopは現在、最近のPrintNightmare脆弱性を利用した攻撃を検知するための仕組みを開発しています。7月2日(金)現在、この問題にはまだパッチがリリースされていません。ExtraHopは引き続き状況を監視していきます。また、今回の脆弱性と適切な対応について説明したThreat Briefingを公開しています。

最近、Windows Print Spoolerサービスに関する複数の脆弱性が公開され、混乱を招いています。最新のゼロデイ脆弱性CVE-2021-34527は、一般に公開されたコードがあり、積極的に利用されています。

Print Spoolerサービスは、ほとんどのクライアントおよびサーバープラットフォームでデフォルトで有効になっているため、Windowsへの影響は広範囲に及びます。ExtraHopの脅威調査データによると、93%の環境がPrintNightmareの影響を受ける可能性があり、SolarWinds以来の深刻な問題となっています。

どのPrint Spooler関連の脆弱性か?

以前の脆弱性: CVE-2021-1675

マイクロソフト社は、6月にPrint Spoolerサービスに関連する別の脆弱性を公開しました。この脆弱性にはパッチが適用されましたが、別の悪用技術や、誤って共有されたエクスプロイトが複雑に絡み合い、パッチが適用されたシステムでも、より最近公開されたCVE-2021-34527の影響を受ける可能性があります。

PrintNightmare Vulnerability

現在: CVE-2021-34527

木曜日に公開された最新の脆弱性は、ドメインコントローラー上でシステムレベルの権限を取得することができるため、特に深刻です。攻撃者はリモートコードを実行して、プログラムのインストール、データの変更、完全なユーザー権限を持つ新しいアカウントの作成を行うことができます。さらなるアップデートが利用可能になるまで、Windowsドメインコントローラおよび重要なシステムにおいて、Print Spoolerサービスを直ちに無効にする必要があります。

PrintNightmareの仕組み

CVE-2021-34527 について、マイクロソフトは「Windows Print Spooler サービスが特権での不適切なファイル操作によるもので、エクスプロイトに成功した攻撃者はリモートからSYSTEM権限で任意のコード実行が可能になる。」 と開示しています。

この脆弱性は、システムにプリンタ・ドライバをインストールするために使用されるRpcAddPrinterDriverEx()関数を利用しています。マイクロソフトの環境では、この機能を利用することで、認証されたユーザーが新しいプリンタードライバーをインストールすることができます。PrintNightmareは、この機能を悪用することでローカルまたはリモートサーバーに存在する悪意のあるドライバーファイルを指定し、攻撃者にPrint Spoolerサービスで任意のコードを実行させることができます。

PrintNightmare CVEを悪用するには、まずRpcAddPrinterDriverEx()関数をリモートで呼び出し、悪意のあるDLLを暗号化されたプロトコルで渡します。この方法により、攻撃者はSYSTEMレベルの権限で悪意のあるコードをインストールすることができます。ドメインコントローラを標的とすることで、攻撃者は重要なシステムへの足がかりを得ることができ、プログラムのインストール、データの変更、完全なユーザー権限を持つ新しいアカウントの作成などが可能になります。

検知と復号化

ExtraHopは現在、このCVEに対応した専用の検知ロジックをテストしており、本日中に提供を開始する予定です。Reveal(x)はすでに、ドメインコントローラとの間のネットワークトラフィックを監視し、顧客環境内のActive Directoryの活動を追跡しています。Reveal(x)は、このデータをもとにクラウドベースの機械学習を行い、横展開やネットワーク特権の昇格を示す異常な動作パターンを検知します。仮に攻撃者がドメインコントローラ上でリモートコード実行機能を獲得したとしても、Reveal(x)はその後の悪意のある行動を迅速に検知できる可能性が高いと考えられます。

この悪用行為は、暗号化されたプロトコル内で発生する可能性があり、可視化と検知の課題となっています。ExtraHopのお客様は、TLS1.3を含む業界標準のプロトコルを復号化する機能を持っており、監視が困難なアクティビティの可視性を高めることができます。また、MS-RPCなどの一般的なマイクロソフト社のプロトコルを含む75以上のプロトコルを完全に解析することができるため、より詳細な分析や、最も一般的に使用されているネットワークプロトコルのフォレンジックレベルのメタデータを作成することができます。

ExtraHop Reveal(x) Live Activity Map

Stop Breaches 87% Faster

Investigate a live attack in the full product demo of ExtraHop Reveal(x), network detection and response, to see how it accelerates workflows.

Start Demo

Sign Up to Stay Informed