7月7日に提供された更新プログラム "KB5004945" は、"CVE-2021-34527" の "Windows 印刷スプーラーのリモートでコードが実行される脆弱性" を回避するための更新プログラムです。
その問題の深刻性から、すでにサポートが終了している Windows 7 向けにも更新プログラムが配信されています。Windows 7、Windows 8.1、Windows RT8.1、Windows 10といったコンシューマ向けOS以外にも、Windows Serverなどにも影響が及びます。
* Windows 7 の場合には、 Extended Security Update(ESU)という契約者を対象に更新プログラムの提供など引き続きサポートは続いています。ただし今回の更新プログラムはサポートが切れているWindows 7 向けにも提供されています。
至急、更新する必要がある緊急更新プログラムに位置づけされているものです。
現在の時点で分かっていること、できうる対応について整理してみました。
【印刷スプーラーの脆弱性の問題】
6月に公開された "CVE-2021-1675" での "印刷スプーラーの脆弱性" の脆弱性問題は、当初は、"権限昇格" の脆弱性であるとのこともあって、深刻度も低いものでした。その後、6月末このコードを悪用して任意コードの実行可能になることが判明し、また MSRC のサイトにもありますが実際に、"悪用の事実" も確認されたことから、さらに "CVE-2021-34527" として情報が公開され、"KB5004945" の更新プログラムの配信に至りました。
簡単に言うと、管理者権限を持つユーザーが作成されて、勝手にプログラムがインストールされてしまったり.... 要するにPCが乗っ取られてしまいかねないというものです。
【"PrintNightmare" とは?】
"CVE-2021-1675" で指摘された印刷スプーラーの脆弱性の問題になるコードを実証したコードが GitHub 上で公開されたことが発端。その後すぐにこれは削除されたものの、すでにこれを利用した攻撃手法が出回ってしまったというもので、"CVE-2021-34527" により公開されたものが "PrintNightmare の脆弱性" と呼ばれています。
-- どのような対策が必要なのか?:
この脆弱性への対策として、
- 印刷スプ―ラ―サービスを無効にする
- グループポリシーを使用してリモート印刷のインバウンドを無効にする
が緩和策として推奨されています。
実際問題としては、"印刷スプーラ―サービス" を無効にしてしまうと、印刷ができなくなってしまいます。
そこで今回提供されている "KB5004945" になるわけです。しかしすでにメディアでも報じられているようで、さらに "ポイントアンドプリント" が動作する環境だったりすると、この対策をしてもまだ完全な対策にはならないとも言われていて、さらにこれも "未構成" にする必要があると指摘する声もあるようです。
-- KB5004945 の適用でプリンターが正常に動作しなくなる例もある:
さてそんな不具合を修正するプログラムではありますが、この影響で一部のプリンターで、印刷できなくなるなどの不具合が確認されています。今回 私が実際確認した例では、
Canon TS-203 というプリンターの例。この更新プログラムのインストール後
- 印刷を押しても一部しか印刷されなくなる
- プリンターの警告ランプが二回点滅を繰り返して応答しなくなる
- この症状になると、プリンター本体の電源ボタンを押しても電源は切れない
といった症状。
プリンターの電源ケーブルを抜けば電源も切れるんでしょうけど、当然そんな強制終了は基本的には避けるべきです。
-- プリンターの電源が切れない場合
今回のケースでプリンターの警告ランプが点滅して、電源も切れない状態の場合
→ PCを一旦再起動してください
こうすれば、PCの再起動後には、プリンターについても普通に電源ボタンでも電源が切れるようになります。
【対策は?】
KB5004945 をインストールしない....と、当然今回の脆弱性を放置してしまうことになってしまいます。なので基本的には更新プログラムの適用が推奨されます。
この更新プログラムを適用して問題ない方はそのままご使用ください。
さて問題は、更新プログラムを適用するとプリンターが正常に動作しなくなってしまう方。かといって、前項でもご紹介したような回避策(印刷スプーラーサービスの無効化など)をしてしまうと、更新プログラムを適用しなくても、印刷ができなくなってしまいます。
一応、"KB5004945" が適用された環境で、印刷ができないなどの問題については、KIR(Known Issue Rollback)により、この不具合を解消するとあるようですが、これも仮にすべての問題に対して有効なのかはわかりません。今回私が確認した限りでは、24時間程度(厳密には、24時間まではたっていません)たった状況では、この不具合は解決しておりませんでした。"KB5004945" を一旦削除することで、正常に印刷できることを確認したので、ここに問題があることは明らかでした。
では一時的に、どうしても印刷を優先せざるを得ない場合に、このプログラムを削除した場合、最低限どんな回避策が必要になるのか? "CVE-2021-34527" の Web サイトを確認してみました。
このサイトでは、その "回避策" として以下の点を紹介しています。 なので最低限この回避策は行う必要があるかと思われます。
-- 回避策:
- オプション 1: 印刷スプーラー サービスを無効にする
- オプション 2 - グループ ポリシーで受信リモート印刷を無効にする
1) オプション 1: 印刷スプーラー サービスを無効にする:
これは、"回避策の影響: 印刷スプーラー サービスを無効にすると、ローカル印刷機能とリモート印刷機能の両方が無効になります" とあるように、印刷ができなくなってしまうので注意が必要です。
2) オプション 2 - グループ ポリシーで受信リモート印刷を無効にする:
こちらは、"回避策の影響: このポリシーを使用して受信リモート印刷操作を防ぐことで、リモート攻撃元区分がブロックされます。システムはプリント サーバーとして機能しなくなりますが、直接接続されたデバイスへのローカル印刷は利用できます" とあるように、こちらであればPCに接続されたプリンターからの印刷には影響はありません。
さらに、グループポリシーでいうと、"ポイントアンドプリント" のところも設定しておく方が無難かもしれませんね。
【グループポリシーの変更】
オプション 2 で指摘されているグループポリシーは以下のところになります。
1) "ここに入力して検索" のところに、"gpedit" と入力し、"グループポリシーの編集" をクリックします
2) コンピューターの構成 >管理者テンプレート > プリンター と開き、"印刷スプーラーにクライアント接続の受け入れを許可する" をダブルクリックして開きます
3) "未構成" となっている部分の設定を、"無効" に変更しOKで閉じたら、PCを再起動すれば完了です
-- "ポイントアンドプリント" の設定について:
ついでにもう一つ指摘されている、"ポイントアンドプリント" の設定についてもご紹介しておきます。
1) グループポリシーエディタ―を開いたら、コンピューターの構成 >管理者テンプレート > プリンター と開き、"ポイント アンド プリントの制限" をダブルクリックして開きます
2) 仮に、この設定が、"有効" になっていたら、"未構成" に設定を変更します
今回ご紹介したように、"KB5004945" については、これ自体が影響して印刷ができなくなるプリンターもある上に、"ポイントアンドプリント" が構成されてたりすると、これだけでは問題があるというように問題を指摘する声もあります。
次の更新プログラムの提供が行われるまで、引き続き今後も注視していく必要がありそうです。
<参照>
〜 Windows 11 に向けて、ぼちぼち新しいPCを検討してみませんか?