PrintNightmare脆弱性によるPaperCutソフトウェアへの影響について

「Print Nightmare」とは何ですか？

「Print Nightmare」はWindowsスプーラ・サービスのバグであり、
状況によっては攻撃者がローカルのSYSTEMユーザとして Microsoft Windows システム上でコードをリモート実行できてしまう可能性があります。

一般的にこれ(およびその後リリースされたMicrosoft社の更新および修正プログラム) を「PrintNightmare」と呼んでします。
また、これらはCVE-2021–1675, CVE-2021–34527, CVE-2021–34481 とも呼ばれています。

詳細は下記のMicrosoft社のアドバイザリ文書を参考にしてください。

【Windows Print Spooler Remote Code Execution Vulnerability   CVE-2021-34527】
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

重要なのは、攻撃を可能にするためには、攻撃者がリモート・システムに対して認証する必要があるということです。

どうすれば防げるのか?

Microsoft社がリリースしている更新プログラム(修正プログラム)の適用をお願いします。
Microsoft社は、これら脆弱性に対する複数の更新/修正プログラムをリリースしています。
これら更新/修正プログラムは、Windows Updateまたはアドバイザリのリンクから入手できます。
PaperCut社では、これら更新/修正プログラムをすべてのMicrosoft Windowsシステムに適用することを強くお勧めしています。
特に、Microsoft Windowsのプリント・スプーラ・サービスがネットワークに公開されているシステムには優先的に適用してください。

更新/修正プログラムを適用していない場合、どうすればよいか?

PaperCut社は、お客様ご自身でMicrosoftアドバイザリをご確認いただき、
推奨されいている回避策や緩和策の影響や、その範囲をご理解いただくことを強くお勧めしています。
各お客様がそのリスクをご自身で評価され、必要に応じて、本記事に記載されている緩和策をご検討ください。
Microsoft Windowsのプリント・スプーラをネットワークに公開する必要があるシステムには、
優先的に更新/修正プログラムを適用することを強くお勧めします。

2021年7月6日に更新されたMicrosoft社の勧告(バージョン2.0)に基づき、
PaperCut社は以下の回避策と設定がセキュリティと印刷機能の維持の間の合理的なバランスを形成していると考えます。
ただし、組織は、内部で独自のリスク管理手順に基づいて評価するようにしてください。

　・ Microsoft Windowsプリント・サーバがインターネットから隔離されていることを確認する（例：ローカル・ネットワークからのみアクセス可能）。

　・ ドメインコントローラをプリント・サーバとして使用しない。

　・ すべてのプリント・サーバにMicrosoft アドバイザリに掲載されている更新/修正プログラムを適用する。

　・ 印刷行わないメンバ・サーバやクライアントPCのスプーラ・サービスを無効にする。

　・ 他のシステムからのプリント・ジョブを受け入れる必要がないシステムでは、
　　 グループポリシー「印刷スプーラーにクライアント接続の受け入れを許可する」を無効に設定する。

　・ Microsoft社のアドバイザリに記載されている指示に従い、
　　 印刷機能を必要とするメンバ・サーバおよびクライアントPCの「ポイント アンド プリント」を制限する。

更新/修正プログラム適用後に組織の印刷を復元する方法

弊社ではあらゆる組織(PaperCutを使用していない組織を含む) を見てきた限り、
これらの更新/修正プログラムは印刷を非常に混乱させてきました。
下記はPaperCut社が確認した問題の要約と解決に取り組むための最新のアドバイスです。

問題点	KB	回避策	長期的なソリューション
2021年8月のWindows Updateインストール後、管理者以外のユーザに「このプリンタを信頼しますか?」ダイアログボックスが表示される	KB5005652	一時的にレジストリキーを編集することによる回避。詳細は「KB5005652適用後に表示されるダイアログについて」を参照。	次のいずれかを検討 ・PaperCut モビリティ・プリント機能の使用 ・PaperCut プリンタ展開機能を使用して、 管理者権限無しで「ポイントアンドプリント」機能を使用する
2021年9月のWindows Updateインストール後、SMB経由のmacOSクライアントPCからWindowsプリント・サーバへの印刷ができなくなる現象	KB5005568, KB5005613, KB5005627, KB5005623, KB5005607, KB5005606, KB5005618, KB5005565, KB5005566, KB5005615	一時的にレジストリキーを編集することによる回避。詳細は「KB5005568(KB5005565)適用後macOS端末からSMB接続で印刷できなくなる問題」を参照。	<macOS端末>から<Windowsサーバ>への印刷のみを解決したい場合は、ネットワーク印刷方法をSMBからLPRに変更してください。 または、次のいずれかを検討してください。 ・PaperCut モビリティ・プリント機能の使用 ・PaperCut プリンタ展開機能を使用して、 管理者権限無しで「ポイントアンドプリント」機能を使用する
2021年9月のWindows Updateインストール後、ネットワーク印刷がエラー「0×0000011b」で失敗する現象	KB5005565	一時的にレジストリキーを編集することによる回避。詳細は「2021年8月9月のWindowsセキュリティ・パッチ適用後エラー0x0000011bエラーが発生する問題」を参照。	次のいずれかを検討 ・PaperCut モビリティ・プリント機能の使用 ・PaperCut プリンタ展開機能を使用して、 管理者権限無しで「ポイントアンドプリント」機能を使用する
2021年9月のWindows Updateインストール後、クロスサーバ・リダイレクトがエラー「283」もしくは「317」で失敗する現象	KB5005568	一時的にレジストリキーを編集することによる回避。詳細は「KB5005568適用後にエラー283と317が発生する問題」を参照。	次のいずれかを検討 ・PaperCut モビリティ・プリント機能の使用 ・PaperCut プリンタ展開機能を使用して、 管理者権限無しで「ポイントアンドプリント」機能を使用する
2021年10月のWindows Updateインストール後、ネットワーク印刷がエラー「0x00000709 」で失敗する現象	KB5006670, KB5006672	「2021年10月Windowsセキュリティ・パッチ(KB5006670)適用後にエラーが発生する問題」を参照。	Microsoft社は、この問題を解決するための更新プログラム「KB5007253」をリリースしました。この更新プログラムにより、Windowsプリント・サーバで共有されているプリンタに接続する際、エラーコード 0x000006e4, 0x0000007c, 0x00000709 が発生する問題は解決されます。詳細はMicrosoft社の下記ページを参照してください。 【2021 年 11 月 22 日 — KB5007253 (OS ビルド 19041.1387、19042.1387、19043.1387、および 19044.1387) プレビュー】 https://support.microsoft.com/ja-jp/topic/2021-%E5%B9%B4-11-%E6%9C%88-22-%E6%97%A5-kb5007253-os-%E3%83%93%E3%83%AB%E3%83%89-19041-1387-19042-1387-19043-1387-%E3%81%8A%E3%82%88%E3%81%B3-19044-1387-%E3%83%97%E3%83%AC%E3%83%93%E3%83%A5%E3%83%BC-d1847be9-46c1-49fc-bf56-1d469fc1b3af