「Windows 10」に搭載されている「Windows Print Spooler」(Windows印刷スプーラー)のセキュリティは、同社や顧客の頭痛の種になっている。
Microsoftは7月と8月にフィックスをリリースしているが、米国時間8月10日に月例セキュリティパッチ「Patch Tuesday」をリリースした直後の11日、Print Spoolerにまた別の脆弱性があることを明らかにした。
これはPrint Spoolerのリモートコード実行(RCE)の脆弱性で、共通脆弱性識別子(CVE)として「CVE-2021-36958」が割り当てられている。
Microsoftのアドバイザリーでは、「Windows Print Spoolerサービスが特権的なファイル操作を不適切なかたちで実行した場合、RCEの脆弱性が顕在化する。この脆弱性を悪用することで攻撃者は、『システム権限』で任意のコードを実行できるようになる。このため攻撃者はプログラムのインストールや、データの閲覧や変更、削除のほか、あらゆる権限を有する新アカウントの作成が可能になる。この脆弱性を回避するには当該Print Spoolerサービスを停止し、無効化しておくことだ」と説明されている。
これより前に発表されたPrint Spoolerサービスの脆弱性(「CVE-2021-34481」)は、ローカル環境にアクセスできる攻撃者に対して「システムレベル」への特権昇格を許すことで、Windows 10などを搭載する機器へのマルウェアのインストールや、新アカウントの作成を可能にするものだ。
Microsoftは今週、この問題を緩和するためのアップデートをリリースした。Windowsの「ポイントアンドプリント」機能におけるデフォルトの動作を変更し、プリンタードライバーのインストールとアップデートに管理者権限を要する仕組みに変更した。Microsoftは、この変更で管理者の作業が増えるかもしれないが、「セキュリティ上のリスクは、今回の変更に対する正当な理由になると私たちは強く信じている」と述べていた。
リサーチャーらが一連の脆弱性に対するさまざまな攻撃方法を見つけ出したことで、Print Spoolerサービスに影響を及ぼす問題がこの夏の間に拡大している。
CVE-2021-36958やCVE-2021-34483について、Accentureのセキュリティ研究者Victor Mata氏は12月に問題をMicrosoftに報告したという。関連するPrint Spoolerの問題には、CVE-2021-1675やCVE-2021-34527もある。
CERT/CCの脆弱性アナリストWill Dormann氏は、8月の月例アップデートは明らかに不完全だと指摘している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
