Microsoftによると、PrintNightmareはすでに悪用されており、回避策を提供しています

XNUMX日前に、攻撃者に許可を与える、リリースされたばかりのパッチが適用されていない新しいゼロデイエクスプロイトについて報告しました。 完全にパッチが適用されたWindowsPrintSpoolerデバイスでの完全なリモートコード実行機能。

PrintNightmareと呼ばれるこのハッキングは、攻撃者のコードを完全なシステム権限で実行できるようにし、概念実証コードとともにリリースされたため、ハッカーに悪用される可能性がありました。

主な緩和要因は、ハッカーがネットワークにいくつかの（低特権の）資格情報を必要とすることですが、エンタープライズネットワークの場合、これらは約3ドルで簡単に購入できます。

マイクロソフトはついに、CVE-2021-34527 Windows Print Spooler Remote Code Execution VulnerabilityAdvisoryを投稿することでニュースに対応しました。

マイクロソフトは言う：

Microsoftは、Windows Print Spoolerに影響を与えるリモートコード実行の脆弱性を認識して調査しており、この脆弱性にCVE-2021-34527を割り当てています。 これは進化する状況であり、より多くの情報が利用可能になったときにCVEを更新します。

Windows Print Spoolerサービスが特権ファイル操作を不適切に実行すると、リモートでコードが実行される脆弱性が存在します。 この脆弱性を悪用した攻撃者は、SYSTEM権限で任意のコードを実行する可能性があります。 その後、攻撃者はプログラムをインストールする可能性があります。 データの表示、変更、または削除。 または、完全なユーザー権限で新しいアカウントを作成します。

攻撃には、RpcAddPrinterDriverEx（）を呼び出す認証済みユーザーが関与する必要があります。

8年2021月XNUMX日にリリースされたセキュリティ更新プログラムを適用していることを確認してください。この脆弱性からシステムを保護する方法については、このCVEのFAQおよび回避策のセクションを参照してください。

彼らのエクスプロイト性評価では、彼らはすでにエクスプロイトを検出していると述べています。

Microsoftは次の回避策を提供していますが、これによりPrintSpoolerが無効になります。

Print Spoolerサービスが実行されているかどうかを確認します（ドメイン管理者として実行します）

ドメイン管理者として以下を実行します。

Get-Service -Name Spooler

印刷スプーラーが実行されている場合、またはサービスが無効に設定されていない場合は、次のいずれかのオプションを選択して、印刷スプーラーサービスを無効にするか、グループポリシーを使用してインバウンドリモート印刷を無効にします。

オプション1-プリントスプーラーサービスを無効にする

印刷スプーラーサービスを無効にすることが企業にとって適切である場合は、次のPowerShellコマンドを使用します。

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

回避策の影響 Print Spoolerサービスを無効にすると、ローカルとリモートの両方で印刷する機能が無効になります。

オプション2–グループポリシーを使用してインバウンドリモート印刷を無効にする

次のように、グループポリシーを介して設定を構成することもできます。

コンピューターの構成/管理用テンプレート/プリンター

「印刷スプーラーにクライアント接続の受け入れを許可する」ポリシーを無効にして、リモート攻撃をブロックします。

回避策の影響 このポリシーは、インバウンドのリモート印刷操作を防止することにより、リモート攻撃ベクトルをブロックします。 システムはプリントサーバーとして機能しなくなりますが、直接接続されたデバイスへのローカル印刷は引き続き可能です。

Microsoftですべての詳細を読む （茶事の話はこちらをチェック）.