Trusted Design

解説:

CVE-2022-21999に関する調査結果を以下に解説します。

1. 脆弱性の概要

CVE-2022-21999は、「SpoolFool」とも呼ばれる、Microsoft WindowsのPrint Spoolerサービスにおける特権昇格の脆弱性です。この脆弱性は、印刷ジョブやプリンタードライバーの操作時に、ディレクトリパスが不適切に処理されることに起因します。具体的には、プリンターポートのパスを操作することで、以前の印刷スプーラー特権昇格の脆弱性に存在したセキュリティチェックを回避します。

1.1 影響

この脆弱性が悪用されると、ローカルで認証された攻撃者がSYSTEMレベルまで特権を昇格させることが可能になります。これにより、攻撃者は影響を受けるシステム上で任意のコードをSYSTEM権限で実行し、プログラムのインストール、データの変更、完全な管理者権限を持つ新しいアカウントの作成など、システムを完全に制御できる可能性があります。

1.2 深刻度

• CVSS v3.1 ベーススコア: 7.8 (High)
• CVSS v2.0 ベーススコア: 4.6 (Medium)
• この脆弱性は、「Critical（緊急）」と評価されることがあり、これは容易に「SYSTEM」アクセスが可能であり、他の脆弱性やマルウェア、ルートキットと組み合わせて悪用される可能性があるためです。
• CISA（サイバーセキュリティ・インフラセキュリティ庁）の既知の悪用されている脆弱性カタログに掲載されており、実際の攻撃で悪用が確認されていることを示しています。

2. 対象となる環境

2.1 影響を受けるOSバージョン

CVE-2022-21999は、以下のMicrosoft Windowsオペレーティングシステムに影響を与えます。

• Windows 7 for x64-based Systems Service Pack 1
• Windows 8.1 for x64-based systems, Windows RT 8.1
• Windows 10 (バージョン 1507, 1607, 20H2, 21H1, 21H2など) (x64ベース、32ビット、ARM64ベースのシステムを含む)
• Windows 11 (x64ベースおよびARM64ベースのシステムを含む)
• Windows Server 2008 R2 for x64-based Systems Service Pack 1
• Windows Server 2008 for x64-based Systems Service Pack 2
• Windows Server 2012, Windows Server 2012 R2
• Windows Server 2016
• Windows Server 2019
• Windows Server 2022
• Windows Server version 20H2 (Server Core Installation)

Print Spoolerサービスは、ほとんどのWindowsシステムでデフォルトで起動時にロードされるため、多くのパッチが適用されていないシステムがリスクにさらされている可能性があります。

2.2 影響を受ける設定

この脆弱性は、Microsoft WindowsのPrint Spoolerサービス (spoolsv.exe) に存在します。このサービスはデフォルトでシステム起動時にロードされます。脆弱性は、特にPrint Spoolerサービスがプリンタージョブやドライバー操作を処理する際のディレクトリパスの不適切な取り扱いが悪用されることによります。攻撃者は、SpoolDirectory構成設定やプリンターポートのパスを操作し、シンボリックリンクなどの手法を用いて、特権のあるディレクトリに任意のファイルを書き込み、DLLとしてロードさせて管理者権限で実行させることでセキュリティチェックを回避します。弱点列挙としては、CWE-59 (Improper Link Resolution) と CWE-22 (Path Traversal) が挙げられます。

3. 影響を受けた時の兆候

この脆弱性によって直接的にユーザーが認識できる特定の兆候は、一般的には報告されていません。攻撃が成功すると、攻撃者はSYSTEM権限を獲得します。その後の兆候としては、攻撃者がSYSTEM権限で実行した任意のアクション（例：不審なアカウントの作成、データの改ざん、意図しないプログラムのインストールなど）に依存します。

4. 推奨対策

4.1 本対策

ベンダー（Microsoft）の指示に従って、速やかにセキュリティ更新プログラムを適用することが強く推奨されます。Microsoftは2022年2月の月例パッチでこの脆弱性に対応する更新プログラムをリリースしています。

4.2 暫定回避策（緩和策）

明示的な暫定回避策は限定的ですが、以下のような措置が考えられます。 * Print Spoolerサービスが不要な場合は、サービスを手動起動に設定するか、無効にすることを検討できます。ただし、Print SpoolerはWindowsの主要なコンポーネントであり、無効にすると印刷機能全般に影響が出るため、注意が必要です。

その他解説すべき観点

• この脆弱性は、ローカル特権昇格 (LPE) の脆弱性であり、攻撃者は悪用するためにシステムへのローカルアクセスが必要です。
• CVE-2022-21999は、以前のPrint Spoolerサービスにおける特権昇格の脆弱性（例：CVE-2020-1030）のセキュリティチェックを回避するものです。
• 概念実証 (PoC) コードが一般に公開されており、実際に攻撃で悪用されていることが確認されています。

参照したサイト

• CVE-2022-21999 Detail - NVD
• Emerging Threat: A Spool's Gold: CVE-2022-21999 - Yet another Windows Print Spooler Privilege Escalation - guardsix
• CVE-2022-21999 Report - Details, Severity, & Advisories | Twingate
• Just in Time Bulletin: CVE-2022-21999 SpoolFool - NopSec
• CVE-2022-21999 SpoolFool Privesc - Rapid7 Vulnerability Database
• CVE-2022-21999 | INCIBE-CERT
• CVE-2022-21999 | Tenable®
• 「脆弱性TODAY」キュレーターによる2022年5月の振り返り - 株式会社GRCS
• CVE-2022-21999: Windows 10 Privilege Escalation Flaw - SentinelOne
• Windowsの脆弱性（2022年2月公開）に関するお知らせ -FMWORLD（法人）
• [原创] CVE-2022-21999 Windows Print Spooler 权限提升漏洞分析 - 看雪论坛
• SpoolFool：Windows Print Spooler 权限提升(CVE-2022-21999)-腾讯云开发者社区
• Spool Print Fool（CVE-2022-21999 ）提权漏洞 - CSDN博客
• MS.Windows.HTTP.Protocol.Stack.CVE-2022-21907.Code.Execution - FortiGuard Labs
• JVNDB-2022-002029 - JVN iPedia - 脆弱性対策情報データベース
• ly4k/SpoolFool: Exploit for CVE-2022-21999 - Windows Print Spooler Elevation of Privilege Vulnerability (LPE) · GitHub