【windows系】脆弱性レポート(CVE-2021-34481)PrintNightmareについて

どうも、3人目です。

今回は、昨年(2021年)7月頃に報告されました、PrintNightmareの脆弱性対応についてお話しようと思います。

windows系の保守をしていると、今回のお話は昨年夏ごろはいろいろと噂が立っていたのではないでしょうか。

更に、Microsoftからの累積更新プログラムの配信により、対応が急がれることになったりもしましたので、こちらの対応方法についてお話しようと思います。

1.脆弱性の内容

厳密な脆弱性名としては、「Windows 印刷スプーラーのリモートでコードが実行される脆弱性」といったもので、CVE-2021-34481で報告されたものになります。

Security Update Guide - Microsoft Security Response Center

こちら、「Point and Print」を利用している環境だと、悪意のある攻撃者はこちらのプロトコルを利用することで管理者権限に昇格して、システムに侵入することができる脆弱性になります。

「Point and Print」はいわゆる「プリンターサーバ」を導入している環境のことを指すと考えていただければよいかと思います。

役割としては、ドメインに参加しているクライアントPCが印刷を実行した際に、プリンターに合わせたドライバーをクライアントPCに対して適用を行います。

これによって、クライアントPCはプリンターごとにドライバーをインストールすることなく、シームレスに印刷を行うことができる、といった機能になります。

なので、大規模なオフィスなどでは、機能が有効化されており、2021年8月のwindowsUpdateによって被害を受けている環境も多くあるかと思います。

その、Microsoftが行った対応について記載しようと思います。

2.Microsoftの対応内容

この脆弱性に対応するために、Microsoftは2021年8月11日の累積更新プログラムにて、以下のレジストリ設定を追加して対応を行いました。

▲レジストリの場所HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint

▲DWord 名
RestrictDriverInstallationToAdministrators

▲値
1(Point and Print を使用するときに、プリンター ドライバーをインストールするための管理者権限が必要です。 このレジストリ キーは、すべてのポイント アンド プリントの制限のグループ ポリシー設定を上書きし、管理者のみがポイント アンド プリントを使用してプリント サーバーからプリンター ドライバーをインストールできるようにします。)

上記レジストリの追加により、クライアント端末は「Point and Print」を利用して印刷を行うと、必ず管理者権限を求められるようになります。

これにより、管理者権限を持たない攻撃者は、権限の昇格が行えず、攻撃に失敗するようになります。

3.Microsoftの対応による問題点

さて、ここまで読んだ方の中だと、
「うむ、上記対応をMicrosoftがやってくれたから安心だ！」
と思われるかもしれませんが、そうは問屋がおろさないのがこの問題になります。

上記、対応によって今まではシームレスに印刷が行えていた環境では、クライアントPCからの印刷を実行するたびに管理者権限の実行を許可するかどうかを尋ねられるようになるのです。

では、レジストリ対応での問題点の対応方法を見ていこうと思います。

私の場合

実際に、私の保守している環境では上記の問い合わせが多発し、対応を行うことになりました。

さてさて、弊社にて対応した内容は、、、

「レジストリの値を1から0にして対応しよう」

まじか。
そうなんですよね。
上記で対応してしまいました。

そもそも、弊社の保守環境はイントラネットでネットワークから隔離されているため、そもそものセキュリティが高いことを理由に上記で対応を行いました。

さらに言うと、「僕の役務にプリンターサーバの対応はないのよね」ってことです。

それぞれの支部のお客様にて、プリンターサーバを構築しているので、これを一つひとつ問い合わせて対応はちょっと厳しいので、上記対応になりました。

これだけではあまり、おすすめできる対応ではないので、僕が思うに本当に取るべき対応について記載しようと思います。

おすすめの対応

やはり、レジストリを変更した後に、追加で「信頼できる特定のポイントアンドプリント実装サーバーにのみ、接続することをユーザーに許可する」が一番よい対応になると思われます。(当たり前)

GPOでの設定で対応も行えるため管理者的にも簡単かと思います。

場所：[コンピューターの構成]-[ポリシー]-[管理用テンプレート]-[プリンター]
設定：[ポイント アンド プリントの実装 - 許可されたサーバー]を有効化

[値]：印刷サーバに当たる、サーバ名を完全修飾で入力する

上記の設定が一番良いのではないかと思います。

もちろん、上記の設定を行ったら、該当のレジストリの値は[0]にしてください。

上記の設定を行うと許可されていないプリンターサーバの利用が出来なくなるので、影響だったりを考え、必ず設定したGPOのOUへの適用は検証環境でまずは対応をお願いします。

ちなみに、本記事の作成の参考にしたものは以下になります。

KB5005652—新しいポイントアンドプリントの既定のドライバーのインストールの動作を管理する (CVE-2021-34481)

こちらに詳しくいろいろな対応方法が記載されていますので、確認をお願いいたします。

4.結論

結論としては、「Point and Print」を利用している環境では、2021年8月以降の累積更新プログラムを適用した際には、必ずなにかしら対応が必要ということです。(管理者権限出ていいならいらないけど、、、)

便利な反面、やはりこういった脆弱性が発見されると対応が必要になるんですよね。。。

では、