PrintNightmare (CVE-2021-34527).

PrintNightmare(CVE-2021-34527)は、Windows Print Spooler サービス(spoolsv.exe)が RpcAddPrinterDriverEx() RPC 呼び出しへのアクセスを適切に制限できていなかった欠陥です。リモートの SMB/UNC 共有上にホストされた悪意あるプリンタドライバ DLL をスプーラに参照させることで、認証済みのドメインユーザーであれば誰でも、SYSTEM 権限で動作するスプーラにその DLL を読み込ませて実行させることができ、ローカル権限昇格と、リモートのスプーラに対しては完全なリモートコード実行の両方を達成できました。Print Spooler は既定でドメインコントローラ上でも動作するため、Active Directory 環境への影響は深刻でした。

この公表は混乱を極めました。本脆弱性は、2021 年 6 月に「重要」級の LPE として修正された CVE-2021-1675 と同じ RpcAddPrinterDriverEx のコードパスを共有しています。研究者が 2021 年 6 月下旬に概念実証コードを公開した際、彼らは既に修正済みの CVE-2021-1675 を対象にしていると考えていましたが、実際には未修正の別個の RCE を引き起こしており、Microsoft はこれを CVE-2021-34527 として再割り当てしました。重要な点として、このパッチは Point and Print が NoWarningNoElevationOnInstall = 1 で構成されている環境では悪用を止められませんでした。

Microsoft は 2021 年 7 月に帯域外更新プログラムとレジストリ強化のガイダンスを公開しました。防御策:PrintNightmare 関連のパッチをすべて適用する、印刷を行わないサーバー(特にドメインコントローラ)では Print Spooler を無効化する、Point and Print のドライバインストールを管理者に限定する、そして信頼できないホストへの送信 SMB をブロックする。

flowchart TD
  A[低権限のドメインユーザー] --> B[spoolsv.exe への RPC 呼び出し<br/>RpcAddPrinterDriverEx]
  B --> C[スプーラが攻撃者の SMB/UNC 共有から<br/>ドライバ DLL を取得]
  C --> D{Point and Print の<br/>制限はあるか?}
  D -->|制限なし| E[スプーラが DLL を SYSTEM として読み込む]
  D -->|管理者のみ| F[インストールがブロックされる]
  E --> G[SYSTEM としてコード実行]
  G --> H[ローカル権限昇格]
  G --> I[ドメインコントローラ上での<br/>リモートコード実行]