Windows PrintSpoolerのリモートコード実行の脆弱性の回避策

マイクロソフト 開示 最近、Windows PrintSpoolerを使用しているWindowsの新しいリモートコード実行の脆弱性。この脆弱性は積極的に悪用されており、マイクロソフトはシステムを攻撃から保護するための2つの回避策を公開しています。

マイクロソフトはセキュリティの問題の影響を受けるWindowsのバージョンを開示していないため、提供された情報は不十分です。見た目からすると、リモート認証されたユーザーが必要なため、ホームコンピューターの大部分ではなく、ほとんどの部分でドメインコントローラーに影響を与えるようです。

アップデート :Microsoftは、印刷関連の脆弱性に対処するために帯域外更新をリリースしました。パッチへのリンクは このMicrosoftページ終わり

0パッチ パッチを分析した、は、問題は主にWindows Serverのバージョンに影響するが、デフォルトの構成に変更が加えられた場合、Windows10システムと非DCサーバーも影響を受ける可能性があることを示唆しています。

UAC(ユーザーアカウント制御)は完全に無効になっています
PointAndPrintNoWarningNoElevationOnInstallが有効になっています

CVEは次の説明を提供します。

Windows Print Spoolerサービスが特権ファイル操作を不適切に実行すると、リモートでコードが実行される脆弱性が存在します。この脆弱性の悪用に成功した攻撃者は、SYSTEM権限で任意のコードを実行する可能性があります。その後、攻撃者はプログラムをインストールする可能性があります。データを表示、変更、または削除する。または、完全なユーザー権限で新しいアカウントを作成します。

攻撃には、RpcAddPrinterDriverEx()を呼び出す認証済みユーザーが関与する必要があります。

2021年6月8日にリリースされたセキュリティ更新プログラムを適用していることを確認してください。この脆弱性からシステムを保護する方法については、このCVEのFAQと回避策のセクションを参照してください。

Microsoftは、Print Spoolerサービスを無効にするか、グループポリシーを使用してインバウンドリモート印刷を無効にするという2つの提案を提供しています。最初の回避策は、デバイスでのローカルおよびリモートの印刷を無効にします。これは、印刷機能が必要とされないシステムでの解決策かもしれませんが、デバイスで印刷が行われる場合、実際にはオプションではありません。必要に応じてプリントスプーラーを切り替えることができますが、それはすぐに迷惑になる可能性があります。

2番目の回避策では、グループポリシーにアクセスする必要があります。これは、WindowsのProバージョンとEnterpriseバージョンでのみ使用できます。

両方の回避策は次のとおりです。

Windowsリモート印刷の脆弱性

印刷スプーラを無効にするには、次の手順を実行します。

  1. 管理者特権のPowerShellプロンプトを開きます。 Windows-Xを使用し、Windows PowerShell(管理者)を選択します。
  2. Get-Service -NameSpoolerを実行します。
  3. Stop-Service -Name Spooler-Forceを実行します
  4. Stop-Service -Name Spooler -Force
  5. Set-Service -Name Spooler -StartupType Disabled

コマンド(4)はPrint Spoolerサービスを停止し、コマンド(5)はそれを無効にします。変更を加えると、印刷できなくなることに注意してください(Print Spoolerサービスを再度有効にしない限り)。

印刷スプーラがクライアント接続を受け入れることを許可する

インバウンドリモート印刷を無効にするには、次の手順を実行します。

  1. スタートを開きます。
  2. gpedit.mscと入力します。
  3. グループポリシーエディターを読み込みます。
  4. [コンピューターの構成] / [管理用テンプレート] / [プリンター]に移動します。
  5. [印刷スプーラーにクライアント接続の受け入れを許可する]をダブルクリックします。
  6. ポリシーを無効に設定します。
  7. [OK]を選択します。

0Patchはマイクロパッチを開発して公開しました これにより、印刷スプーラーのリモートコード実行の問題が修正されます。パッチは、その時点でWindows Server、特にWindows Server 2008 R2、Windows Server 2021、Windows Server 2016、およびWindows Server2019用にのみ作成されています。