Microsoftの緊急パッチは、重大な「PrintNightmare」の脆弱性を修正できません

by PCJISAKUTECH
0 comment


マイクロソフトが火曜日に発行した緊急パッチは、サポートされているすべてのバージョンのWindowsで重大なセキュリティの脆弱性を完全に修正できず、攻撃者が感染したシステムを制御し、選択したコードを実行できるようになると研究者は述べています。

口語的にPrintNightmareとして知られるこの脅威は、ローカルネットワーク内で印刷機能を提供するWindows印刷スプーラーのバグに起因します。 概念実証エクスプロイトコードは公開されてから撤回されましたが、他の人がそれをコピーする前ではありませんでした。 研究者はこの脆弱性をCVE-2021-34527として追跡しています。

大したこと

印刷機能がインターネットに公開されている場合、攻撃者はリモートでそれを悪用する可能性があります。 攻撃者は、別の脆弱性を使用して脆弱なネットワーク内で足を引っ張った後、それを使用してシステム特権をエスカレートすることもできます。 いずれの場合も、攻撃者はドメインコントローラーの制御を取得できます。ドメインコントローラーは、ローカルユーザーを認証するサーバーとして、Windowsネットワーク上で最もセキュリティに敏感な資産の1つです。

「これは私が非常に長い間扱ってきた最大の取引です」と、ソフトウェアのバグを調査し、企業や政府と協力して改善する非営利の米国連邦資金によるプロジェクトであるCERT CoordinationCenterの上級脆弱性アナリストであるWillDormannは述べています。セキュリティ。 「Windowsドメインコントローラーを危険にさらす可能性のあるパッチが適用されていない脆弱性の公開エクスプロイトコードがあるときはいつでも、それは悪いニュースです。」

バグの重大性が明らかになった後、Microsoft 帯域外を公開 火曜日に修正。 マイクロソフトは、このアップデートは「一般の脆弱性に完全に対処している」と述べた。 しかし、水曜日(リリースから12時間強)に、研究者はエクスプロイトがパッチをバイパスする方法を示しました。

「文字列とファイル名の処理は困難です」と、ハッキングおよびネットワークユーティリティのMimikatzやその他のソフトウェアの開発者であるBenjaminDelpy氏は Twitterに書いた

デルピーのツイートに付随していたのは ビデオ これは、帯域外パッチをインストールしたWindows Server2019に対して動作する急いで書かれたエクスプロイトを示しています。 デモは、アップデートが、と呼ばれる機能に特定の設定を使用する脆弱なシステムの修正に失敗することを示しています ポイントアンドプリント、これにより、ネットワークユーザーは必要なプリンタードライバーを簡単に入手できます。

火曜日からのマイクロソフトの勧告の最下部近くに埋もれているのは次のとおりです。「ポイントアンドプリントはこの脆弱性に直接関係していませんが、テクノロジーは悪用が可能になるようにローカルセキュリティ体制を弱めます。」

ガフの悲劇

不完全なパッチは、PrintNightmareの脆弱性に関連する最新の失言です。 先月、Microsoftの毎月のパッチバッチが修正されました CVE-2021-1675、マシンのシステム権限が制限されているハッカーが特権を管理者に昇格できるようにする印刷スプーラのバグ。 Microsoftは、TencentSecurityのZhipengHuo、AfineのPiotr Madej、およびNsfocusのYunhai Zhangが、欠陥を発見して報告したことを認めました。

数週間後、2人の異なる研究者(SangforのZhiniangPengとXuefengLi)がCVE-2021-1675の分析を公開し、特権の昇格だけでなく、リモートコード実行の実現にも悪用される可能性があることを示しました。 研究者たちは、エクスプロイトをPrintNightmareと名付けました。

最終的に、研究者は、PrintNightmareがCVE-2021-1675と類似した(しかし最終的には異なる)脆弱性を悪用したと判断しました。 ZhiniangPengとXuefengLiは、混乱を知ったときに概念実証のエクスプロイトを削除しましたが、それまでに、彼らのエクスプロイトはすでに広く流通していました。 現在、少なくとも3つのPoCエクスプロイトが公開されており、最初のエクスプロイトで許可されていた機能をはるかに超える機能を備えたものもあります。

Microsoftの修正により、ドメインコントローラーとしてセットアップされたWindowsサーバー、またはデフォルト設定を使用するWindows10デバイスが保護されます。 Delpyからの水曜日のデモは、PrintNightmareが、ポイントアンドプリントを有効にしてNoWarningNoElevationOnInstallオプションを選択したシステムを含む、はるかに広範囲のシステムに対して機能することを示しています。 研究者はMimikatzでエクスプロイトを実装しました。

「クレデンシャルが必要になります」

火曜日のCVE-2021-34527の修正では、コード実行の脆弱性を解消しようとするだけでなく、ユーザーがプリンターソフトウェアをインストールしようとしたときに、Windows管理者がより強力な制限を実装できる新しいメカニズムもインストールされます。

「2021年7月6日、およびCVE-2021-34527の保護を含む新しいWindows Updateをインストールする前に、プリンターオペレーターのセキュリティグループは、署名付きと署名なしの両方のプリンタードライバーをプリンターサーバーにインストールできました。」 マイクロソフトアドバイザリ 述べました。 「このような更新プログラムをインストールした後、プリンターオペレーターなどの委任された管理者グループは、署名されたプリンタードライバーのみをインストールできます。 今後、署名されていないプリンタドライバをプリンタサーバーにインストールするには、管理者の資格情報が必要になります。」

火曜日の帯域外パッチは不完全ですが、それでも、印刷スプーラーの脆弱性を悪用する多くの種類の攻撃に対して意味のある保護を提供します。 これまでのところ、システムを危険にさらすと言っている研究者の既知のケースはありません。 それが変更されない限り、Windowsユーザーは6月と火曜日の両方からパッチをインストールし、Microsoftからのさらなる指示を待つ必要があります。 会社の代表者は、この投稿に対するコメントをすぐには持っていませんでした。





Source link

You may also like

Leave a Comment