編集部からのお知らせ
解説集:台頭するロボット市場のいま
解説集:データ活用で考えるデータの選び方

マイクロソフトのマルウェア対策エンジンに脆弱性、緊急更新で対処

ZDNet Japan Staff

2017-05-09 14:54

 Microsoft製品に搭載されているマルウェア対策エンジン「MsMpEng」に、遠隔から任意のコードを実行可能な脆弱性が見つかった。Microsoftは5月8日にセキュリティアドバイザリーを公開した。

 脆弱性は、Googleで脆弱性を研究するTavis Ormandy氏が6日に報告した。MsMpEngは、WindowsやSecurity Essentials、System Centre Endpoint Protectionなど同社製品に幅広く搭載されている。Ormandy氏によれば、MsMpEngは「NT AUTHORITY\SYSTEM」で実行されており、ExchangeやInternet Information Services(IIS)を含むさまざまなWindowsのサービスを通じて認証を経ることなく、遠隔からMsMpEngにアクセスできてしまう。

 想定される攻撃シナリオでは、攻撃者はユーザーにメールを送り付けるだけで、ユーザーにメールを閲覧させたり、添付ファイルを開かせたりすることなく、MsMpEngにアクセスできる。ウェブブラウザのリンクやインスタントメッセージでも可能だという。MsMpEngは全てのファイルシステムの処理を監視しているため、攻撃者が細工したファイルをMsMpEngにスキャンさせることで、LocalSystemアカウントによって脆弱性が悪用されてしまう。

 Ormandy氏は、攻撃の概念実証(PoC=Proof of Concept)コードも合わせて公開し、「覚えている最近の脆弱性の中では最も深刻であり、非常におぞましいものだ」とツイートした。

 Microsoftのセキュリティアドバイザリーによると、脆弱性はMsMpEngのバージョン1.1.13701.0までに存在するもよう。同社は、脆弱性を修正したバージョン1.1.13704.0をリリースした。遅くともリリースから48時間以内に、定義ファイルの更新に合わせてMsMpEngも最新バージョンにアップデートされるため、ユーザーが特別な対応をする必要はないと説明している。

 脆弱性の影響を受ける製品は、Forefront Endpoint Protection 2010、Endpoint Protection、Forefront Security for SharePoint Service Pack 3、System Center Endpoint Protection、Security Essentials、Windows Defender for Windows 7/8.1/RT 8.1/10/Server 2016、Intune Endpoint Protectionとなっている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

Special PR

特集

CIO

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]