趣味のプログラム工房

PrintNightmare Windows Print Spooler serviceの脆弱性

Windows Print Spooler serviceの脆弱性として、
通称「PrintNightmare」と呼ばれる攻撃が話題のようです。


CVE-2021-1675と混同されているようですが、正確には、「CVE-2021-34527」の脆弱性のよう。

これの何がやばいって。
Windows Print Spooler serviceがADサーバで動いているだけで、
認証済みのドメインユーザがADサーバを乗っ取ることができるというところです。
あとは同様に、ドメイン環境で、ほかのドメイン内のサーバを乗っ取れるとかですね。
ドメインで運用している企業にとっては極めて重大な問題です。


ただし、逆に言うと、ドメインに入っていないマシンにとってはそこまで大きな問題ではなさそうな印象。
まず、POCで示されたコードにもあるように、コマンドには、ユーザ名とパスワードが必要になっています。
つまり、認証されたユーザが必要なわけです。（ドメイン環境であれば、どうとでもなるというレベルで敷居はぐっと下がりますが、スタンドアロンのマシンではかなり敷居は高い）

POCのコマンド
.PrintNightmare.exe dc_ip path_to_exp user_name password


また、RPCを利用することから、ファイアウォールなどでしっかりポートがふさがっていれば問題ないのではないかと考えらます。
さすがに80ポートや443しか公開していないWEBサーバでは影響はない気がします。
印刷スプーラー（MS資料）
https://docs.microsoft.com/ja-jp/troubleshoot/windows-server/networking/service-overview-and-network-port-requirements#print-spooler

なので、スタンドアロンの（ADと連携していない）業務系のシステムでは特に問題はないかなぁという印象。


2021年07月03日

---