JPCERT コーディネーションセンター

Windowsの印刷スプーラーの脆弱性(CVE-2021-34527)に関する注意喚起

各位

JPCERT-AT-2021-0029
JPCERT/CC
2021-07-05(新規)
2021-07-09(更新)

JPCERT/CC Alert 2021-07-05


Windowsの印刷スプーラーの脆弱性(CVE-2021-34527)に関する注意喚起

https://www.jpcert.or.jp/at/2021/at210029.html

I. 概要2021年7月1日(現地時間)に、マイクロソフトからWindowsの印刷スプーラーの脆弱性(CVE-2021-34527)に関する情報が公開されました。脆弱性を悪用されると、影響を受けるWindowsシステム上で認証されたユーザーがSYSTEM権限で任意のコードを実行する可能性があります。例えば、攻撃者が内部ネットワークに侵入し、ドメインユーザーの権限を取得した後に、ドメインコントローラー上で任意のコードを実行し、ドメイン管理者権限の侵害から更なる攻撃を行うなどの恐れがあります。

マイクロソフト株式会社
Windows Print Spooler Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

JPCERT/CCは本脆弱性に関する詳細解説記事や実証コードの公開を確認しています。本脆弱性が攻撃に悪用される可能性があることから、マイクロソフトの情報を確認し、速やかに回避策や緩和策の適用を検討するとともに、脆弱性への対策が公開され次第、適用することを推奨いたします。


II. 対象脆弱性の対象となる製品およびバージョンの最新の情報については、マイクロソフトの情報を参照してください。

脆弱性の対象となるコードはすべてのWindowsに含まれており、ドメインコントローラーやクライアントシステムが脆弱性の影響を受ける条件についてそれぞれ解説されています。

** 更新: 2021年7月7日追記 ****************
本脆弱性の影響を受ける製品およびバージョンは次の通りです。

- Windows Server
- Windows Server 2019
- Windows Server 2016
- Windows Server 2012 R2
- Windows Server 2012
- Windows Server 2008 R2
- Windows Server 2008
- Windows 10
- Windows RT 8.1
- Windows 8.1
- Windows 7
**************************************************


III. 対策2021年7月5日時点で、マイクロソフトから本脆弱性を修正する更新プログラムは公開されていませんが、準備出来次第リリース予定とのことです。マイクロソフトからの情報を注視し、対策に関する情報が公開され次第、速やかな対策実施を推奨いたします。

** 更新: 2021年7月7日追記 ****************
2021年7月6日(米国時間)、マイクロソフトから本脆弱性を修正する更新プログラムが公開されました。今回の修正には、遠隔からのコード実行が可能となる脆弱性(CVE-2021-34527)に対する修正に加えて、2021年6月に修正された印刷スプーラーの脆弱性(CVE-2021-1675)の保護も含まれるとのことです。

なお、Windows 10 version 1607、Windows Server 2016、Windows Server 2012についてはまだ更新プログラムは公開されておらず、今後公開を予定しているとのことです。
**************************************************

** 更新: 2021年7月8日追記 ****************
2021年7月7日(米国時間)、マイクロソフトからWindows 10 version 1607、Windows Server 2016、Windows Server 2012に対応した更新プログラムが公開されました。

なお、WindowsでPoint and Printが有効である場合、設定次第では仕様上脆弱な状態になります。マイクロソフトのアドバイザリに推奨される設定値が掲載されているため、自組織の環境における設定をご確認いただくことを推奨します。
**************************************************

なお、既知の脆弱性への対策として、マイクロソフトは、2021年6月に公開された更新プログラムを適用することも推奨しています。


IV. 回避策マイクロソフトから、脆弱性に対する回避策が提示されています。マイクロソフトの情報を参照し、回避策の適用を検討してください。

マイクロソフトは、ドメインコントローラーにおける印刷スプーラーサービスについて、セキュリティリスクがあることから無効化を推奨しています。

Microsoft
Security assessment: Domain controllers with Print spooler service available
https://docs.microsoft.com/en-us/defender-for-identity/cas-isp-print-spooler


V. 緩和策マイクロソフトから、脆弱性を悪用する攻撃の対象となる領域を制限するため、または回避策の適用が難しい場合の代替案として緩和策が提示されています。特定グループに属するユーザーの制限により、ドメインコントローラーを標的とした攻撃の対象領域を制限することが推奨されています。


VI. 参考情報
マイクロソフト株式会社
Windows Print Spooler Remote Code Execution Vulnerability
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

CERT/CC Vulnerability Note VU#383432
Microsoft Windows Print Spooler allows for RCE via AddPrinterDriverEx()
https://www.kb.cert.org/vuls/id/383432

** 更新: 2021年7月7日追記 ****************
マイクロソフト株式会社
KB5005010: Restricting installation of new printer drivers after applying the July 6, 2021 updates
https://support.microsoft.com/ja-jp/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7

マイクロソフト株式会社
Out-of-Band (OOB) Security Update available for CVE-2021-34527
https://msrc-blog.microsoft.com/2021/07/06/out-of-band-oob-security-update-available-for-cve-2021-34527/
**************************************************

** 更新: 2021年7月8日追記 ****************
マイクロソフト株式会社
Windows Print Spooler の脆弱性情報 (CVE-2021-34527) に対するセキュリティ更新プログラムの定例外での公開
https://msrc-blog.microsoft.com/2021/07/06/20210707_windowsprintspooleroob/
**************************************************

** 更新: 2021年7月9日追記 ****************
マイクロソフト株式会社
Clarified Guidance for CVE-2021-34527 Windows Print Spooler Vulnerability
https://msrc-blog.microsoft.com/2021/07/08/clarified-guidance-for-cve-2021-34527-windows-print-spooler-vulnerability/

マイクロソフト株式会社
Windows Print Spooler の脆弱性情報 (CVE-2021-34527) に関するお客様向けガイダンス
https://msrc-blog.microsoft.com/2021/07/08/20210709_guidancecve202134527/
**************************************************


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。

________
改訂履歴
2021-07-05 初版
2021-07-07 「II. 対象」「III. 対策」「VI. 参考情報」の更新
2021-07-08 「III. 対策」「VI. 参考情報」の更新
2021-07-09 「VI. 参考情報」の更新

==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
Topへ
最新情報(RSSメーリングリストTwitter