-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2021-0029
                                                             JPCERT/CC
                                                     2021-07-05（新規）
                                                     2021-07-09（更新）

                  <<< JPCERT/CC Alert 2021-07-05 >>>

   Windowsの印刷スプーラーの脆弱性（CVE-2021-34527）に関する注意喚起

            https://www.jpcert.or.jp/at/2021/at210029.html

I. 概要
2021年7月1日（現地時間）に、マイクロソフトからWindowsの印刷スプーラー
の脆弱性（CVE-2021-34527）に関する情報が公開されました。脆弱性を悪用さ
れると、影響を受けるWindowsシステム上で認証されたユーザーがSYSTEM権限
で任意のコードを実行する可能性があります。例えば、攻撃者が内部ネット
ワークに侵入し、ドメインユーザーの権限を取得した後に、ドメインコント
ローラー上で任意のコードを実行し、ドメイン管理者権限の侵害から更なる
攻撃を行うなどの恐れがあります。

    マイクロソフト株式会社
    Windows Print Spooler Remote Code Execution Vulnerability
    https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

JPCERT/CCは本脆弱性に関する詳細解説記事や実証コードの公開を確認してい
ます。本脆弱性が攻撃に悪用される可能性があることから、マイクロソフトの
情報を確認し、速やかに回避策や緩和策の適用を検討するとともに、脆弱性へ
の対策が公開され次第、適用することを推奨いたします。


II. 対象
脆弱性の対象となる製品およびバージョンの最新の情報については、マイクロ
ソフトの情報を参照してください。

脆弱性の対象となるコードはすべてのWindowsに含まれており、ドメインコント
ローラーやクライアントシステムが脆弱性の影響を受ける条件についてそれぞ
れ解説されています。

** 更新: 2021年7月7日追記 ********************************************
本脆弱性の影響を受ける製品およびバージョンは次の通りです。

  - Windows Server
  - Windows Server 2019
  - Windows Server 2016
  - Windows Server 2012 R2
  - Windows Server 2012
  - Windows Server 2008 R2
  - Windows Server 2008
  - Windows 10
  - Windows RT 8.1
  - Windows 8.1
  - Windows 7
**********************************************************************


III. 対策
2021年7月5日時点で、マイクロソフトから本脆弱性を修正する更新プログラム
は公開されていませんが、準備出来次第リリース予定とのことです。マイクロ
ソフトからの情報を注視し、対策に関する情報が公開され次第、速やかな対策
実施を推奨いたします。

** 更新: 2021年7月7日追記 ********************************************
2021年7月6日（米国時間）、マイクロソフトから本脆弱性を修正する更新プロ
グラムが公開されました。今回の修正には、遠隔からのコード実行が可能とな
る脆弱性（CVE-2021-34527）に対する修正に加えて、2021年6月に修正された
印刷スプーラーの脆弱性（CVE-2021-1675）の保護も含まれるとのことです。

なお、Windows 10 version 1607、Windows Server 2016、Windows Server 2012
についてはまだ更新プログラムは公開されておらず、今後公開を予定している
とのことです。
**********************************************************************

** 更新: 2021年7月8日追記 ********************************************
2021年7月7日（米国時間）、マイクロソフトからWindows 10 version 1607、
Windows Server 2016、Windows Server 2012に対応した更新プログラムが公開
されました。

なお、WindowsでPoint and Printが有効である場合、設定次第では仕様上脆弱
な状態になります。マイクロソフトのアドバイザリに推奨される設定値が掲載
されているため、自組織の環境における設定をご確認いただくことを推奨しま
す。
**********************************************************************

なお、既知の脆弱性への対策として、マイクロソフトは、2021年6月に公開され
た更新プログラムを適用することも推奨しています。


IV. 回避策
マイクロソフトから、脆弱性に対する回避策が提示されています。マイクロソ
フトの情報を参照し、回避策の適用を検討してください。

マイクロソフトは、ドメインコントローラーにおける印刷スプーラーサービス
について、セキュリティリスクがあることから無効化を推奨しています。

    Microsoft
    Security assessment: Domain controllers with Print spooler service available
    https://docs.microsoft.com/en-us/defender-for-identity/cas-isp-print-spooler


V. 緩和策
マイクロソフトから、脆弱性を悪用する攻撃の対象となる領域を制限するため、
または回避策の適用が難しい場合の代替案として緩和策が提示されています。特
定グループに属するユーザーの制限により、ドメインコントローラーを標的とし
た攻撃の対象領域を制限することが推奨されています。


VI. 参考情報
    マイクロソフト株式会社
    Windows Print Spooler Remote Code Execution Vulnerability
    https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

    CERT/CC Vulnerability Note VU#383432
    Microsoft Windows Print Spooler allows for RCE via AddPrinterDriverEx()
    https://www.kb.cert.org/vuls/id/383432

** 更新: 2021年7月7日追記 ********************************************
    マイクロソフト株式会社
    KB5005010: Restricting installation of new printer drivers after applying the July 6, 2021 updates
    https://support.microsoft.com/ja-jp/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7

    マイクロソフト株式会社
    Out-of-Band (OOB) Security Update available for CVE-2021-34527
    https://msrc-blog.microsoft.com/2021/07/06/out-of-band-oob-security-update-available-for-cve-2021-34527/
**********************************************************************

** 更新: 2021年7月8日追記 ********************************************
    マイクロソフト株式会社
    Windows Print Spooler の脆弱性情報 (CVE-2021-34527) に対するセキュリティ更新プログラムの定例外での公開
    https://msrc-blog.microsoft.com/2021/07/06/20210707_windowsprintspooleroob/
**********************************************************************

** 更新: 2021年7月9日追記 ********************************************
    マイクロソフト株式会社
    Clarified Guidance for CVE-2021-34527 Windows Print Spooler Vulnerability
    https://msrc-blog.microsoft.com/2021/07/08/clarified-guidance-for-cve-2021-34527-windows-print-spooler-vulnerability/

    マイクロソフト株式会社
    Windows Print Spooler の脆弱性情報 (CVE-2021-34527) に関するお客様向けガイダンス
    https://msrc-blog.microsoft.com/2021/07/08/20210709_guidancecve202134527/
**********************************************************************


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで
ご連絡ください。

________
改訂履歴
2021-07-05 初版
2021-07-07 「II. 対象」「III. 対策」「VI. 参考情報」の更新
2021-07-08 「III. 対策」「VI. 参考情報」の更新
2021-07-09 「VI. 参考情報」の更新

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp
-----BEGIN PGP SIGNATURE-----
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=TwaP
-----END PGP SIGNATURE-----