概要

この記事では、次の脆弱性に関連する情報について説明します：

背景

現在、注目すべきCVEがあります：

• 2021年6月に、Windows Print Spoolerのリモートコード実行脆弱性が特定され、CVE-2021-1675が割り当てられました。 
• 7月1日に、MicrosoftはCVE-2021-34527に関する勧告を発表しました。 メディアではこれを「PrintNightmare」と呼んでいます。 Microsoft は、この CVE は CVE-2021-1675 で対応された欠陥とは異なる独立した問題であると指摘しています。

影響

この勧告で開示された最も注目すべき脆弱性は CVE-2021-34527 (PrintNightmare) です。 これは Windows Print Spooler に影響を与えるリモートコード実行の脆弱性であり、システムに接続されたプリンターがなくても脆弱である可能性があります。

CVE-2021-1675

CVE-2021-1675 の悪用は、攻撃者に脆弱なシステムの完全な制御を提供する可能性があります。 リモートコード実行を達成するには、攻撃者がプリントスプーラーサービスに認証されたユーザーを対象にする必要があります。 認証なしでも、この欠陥は特権を昇格させるために利用される可能性があり、この脆弱性を攻撃チェーンの貴重なリンクにします。

CVE-2021-1675は、2021年6月8日にリリースされたMicrosoftのセキュリティ更新によって対処されました。

CVE-2021-34527

7月1日に発表されたCVE-2021-34527も、Windows Print Spoolerサービス内のリモートコード実行脆弱性です。 脆弱性の成功した悪用により、攻撃者は SYSTEM 権限で任意のコードを実行する能力を得ることができ、プログラムのインストール、データの閲覧/変更/削除、完全なユーザー権限での新しいアカウント作成などが可能です。 ただし、これは CVE-2021-1675 と同様に認証されたユーザーアカウントが必要です。

攻撃には認証されたユーザーによる RpcAddPrinterDriverEx() の呼び出しが含まれている必要があります。

すべてのバージョンの Windows は潜在的に脆弱です。

カト解決策

顧客を保護するために、カトは次のステップを実施しました:

• グローバルに展開された侵入防止システム (IPS) の署名セットを使用して、この脆弱性の脅威を軽減します。
• Cato IPSが有効になっている場合、手動で設定を変更することなく、このエクスプロイトから保護されています（IPS署名データベースの更新も必要ありません）。 しかし、エクスプロイトを元から軽減するためにベンダーの勧告に従うことをお勧めします。  
• CVE-2021-1675またはCVE-2021-34527の署名プロファイルに一致する非暗号化の悪意のあるトラフィックが確認された場合、このトラフィックはブロックされ、証拠の記録がイベントディスカバリウィンドウ内のCato管理画面内で生成されます。 

さらに、Catoでは、常にMicrosoftの最新のセキュリティ更新プログラムとベンダーの緩和策でシステムを更新しておくことをお勧めします。 これにより、Microsoftの製品で発生する可能性のある追加の脆弱性を軽減するのに役立つかもしれません。