PrintNightmareへの効率的な対処方法

ADManager Plus, Endpoint Central, Patch Manager Plus, セキュリティ, 一般 | July 9, 2021 | 1 min read

Reading Time: 1 minutes

皆さま、こんにちは、ManageEngine事業 営業部 プリセールスの植松です。

先日MicrosoftよりWindows 11が発表されましたが、皆さまはどのような印象をお持ちになりましたか?
Windows 10が発表された際は、「最後のバージョンのWindows」と言われておりましたが、結果的には「最後」にはなりませんでしたね。個人的にはWindows 11がどのような進化を遂げるのか非常に楽しみにしています。

新しいOSがリリースされたとしても、脆弱性自体や脆弱性を突いたサイバー攻撃は今後も増加し続けるはずですので、我々は継続的に脆弱性対策を行っていく必要があります。

さて本記事では、「PrintNightmare」というWindows 10の印刷スプーラーの脆弱性(共通脆弱性識別子:CVE-2021-34527)について、対処法や緩急策、またそれらを効率的に実施する方法について説明してまいります。

 

PrintNightmareとは

PrintNightmareは、印刷スプーラーサービスが不正なファイル操作を行うことで、リモートコード実行が可能になる脆弱性です。SYSTEM権限で任意のコードを実行できる場合があり、データに対するフルコントロール権限を持つユーザーの作成が可能になります。
対象となるOSバージョンは基本的にはWindows 10 2004以降ですが、サポート終了済みのWindows7やWindows Server2008についても対象となっており、Microsoftより緊急パッチがリリースされています。

 

対処法

7月6日(米国現地時間)に、Microsoftより上記の脆弱性を修正するパッチ「KB5004945」がリリース済みですので、当該パッチをコンピューターにインストールすることで、対処できます。なお、あらかじめ「KB5003173」を先にインストールしておく必要がございますので、ご留意ください。

 

パッチ適用に際した注意事項

特定のセキュリティソフトがインストールされている環境にパッチをインストールすることで、ブルースクリーンエラー(BSoD)が発生するという報告もございます。
そのため企業内のテスト環境で一度テストを行った上で適用するか、以下の緩急策をご検討ください。

 

緩急策

まず、印刷スプーラーサービスが実行されているかどうかを確認するためにWindowsPowerShellで次のコマンドを実行します。

Get-Service -Name Spooler

 印刷スプーラーサービスが実行されている場合、またはサービスが無効に設定されていない場合は、次のいずれかの方法を用いて、印刷スプーラーサービスを無効にするか、グループポリシーを使用してインバウンドリモート印刷を無効にしてください。

<方法1-印刷スプーラーサービスを無効にする>

印刷スプーラーサービスを無効にするためには、次のコマンドを実行してください。

Stop-Service -Name Spooler -Force 

Set-Service -Name Spooler -StartupType Disabled

 なお、印刷スプーラーサービスを無効にすることでと、ローカル/リモートの両方で印刷機能が無効になります。

<方法2-グループポリシーを使用してインバウンドリモート印刷を無効にする>

グループポリシーを用いて、コンピューターに対して一元的に設定を構成できます。
「印刷スプーラーにクライアント接続の受け入れを許可する」というポリシーを無効にするグループポリシーを構成してください。構成適用後に、印刷スプーラーサービスを再起動する必要があります。
グループポリシーの設定につきましては、こちらをご参照ください。

 

効率的に脆弱性対策するためには?

効率的に脆弱性対策を実施するためには、パッチ管理ツールを導入することを推奨いたします。
ManageEngineではパッチ管理機能を搭載したツールとして、エンドポイント管理ツールの「Desktop Central」ならびにパッチ管理ツールの「Patch Manager Plus」という製品/サービスを提供いたしております。

今回リリース済みのパッチである「KB5004945」についても、即日対応いたしております。以下のスクリーンショットのように、KB番号/CVEで簡単に検索できます。

またパッチテスト機能も搭載されておりますので、本番環境に適用する前に、パッチをテスト環境に適用することも可能です。

なお、Desktop Centralは、スクリプト配布機能を活用いただけるため、緩急策の方法1である印刷スプーラーを無効化するコマンド実行を一元的に実施することも可能です。
また緩急策の方法2は、ADManager Plusを用いることで、当該グループポリシーを管理いただけます。

上記ツールについて、もっと詳しく製品説明を受けたい場合は、オンライン相談に是非お申込みください。
またPatch Manager Plus/Desktop Central/ADManager Plusでは30日間無償で、技術サポート付きで、評価版を提供いたしておりますので、併せてお気軽にダウンロードください。


Tags : Microsoft / PrintNightmare / セキュリティ / セキュリティ更新プログラム / パッチ / パッチ管理 / 印刷スプーラー / 脆弱性 / 脆弱性対策
Yosuke

フィードバックフォーム

当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。