脆弱性
PrintNightmare (CVE-2021-34527)
別称: CVE-2021-34527, spoolsv RCE
定義
2021 年に公表された Windows Print Spooler の脆弱性。低権限ユーザーが悪意あるプリンタドライバを導入し、SYSTEM 権限で任意コードを実行できた。
PrintNightmare(CVE-2021-34527、関連 CVE-2021-1675)は、Windows Print Spooler サービスが AddPrinterDriverEx 呼び出しを正しく検証していなかった欠陥です。攻撃者がネットワーク共有経由でスプーラに悪意ある DLL を読み込ませることで、ドメインユーザー(構成によってはリモートの未認証攻撃者でも)が SYSTEM として任意コードを実行でき、ドメインコントローラ上でも成立しました。2021 年 7 月に偶発的に公開され、まもなくランサムウェアグループにより武器化されました。マイクロソフトは緊急パッチとレジストリ強化ガイダンスを公開しました。対策には、PrintNightmare 関連パッチの全適用、不要なサーバー(特に DC)で Print Spooler を無効化、Point-and-Print を管理者に限定することが含まれます。
例
- ランサムウェアグループが PrintNightmare で SYSTEM へ昇格し、DC にペイロードを展開する。
- レッドチームが PrintNightmare を用い、一般ドメインユーザーからローカル管理者へ昇格する。
関連用語
垂直権限昇格
低権限ユーザーが、管理者・root・SYSTEM など、より高い権限を取得できる欠陥。
CVE(共通脆弱性識別子)
公開された各ソフトウェア・ハードウェア脆弱性に一意の識別子を付与し、業界全体で曖昧さなく参照できるようにする公的カタログ。
エクスプロイト
脆弱性を悪用して、コード実行・権限昇格・情報漏えいなど意図しない動作を引き起こすコード、データ、または手法。
ランサムウェア
被害者のデータを暗号化したりシステムをロックしたりし、復旧と引き換えに金銭を要求するマルウェア。
既知の悪用された脆弱性(KEV)
実環境での悪用が CISA(米国)によって確認され、公開 KEV カタログに追加された CVE。米連邦機関に対する修正期限の対象となる。
Active Directory
Active Directory — definition coming soon.