マイクロソフトのマルウェア対策エンジンに脆弱性、緊急更新で対処

ZDNET Japan Staff

2017-05-09 14:54

 Microsoft製品に搭載されているマルウェア対策エンジン「MsMpEng」に、遠隔から任意のコードを実行可能な脆弱性が見つかった。Microsoftは5月8日にセキュリティアドバイザリーを公開した。

 脆弱性は、Googleで脆弱性を研究するTavis Ormandy氏が6日に報告した。MsMpEngは、WindowsやSecurity Essentials、System Centre Endpoint Protectionなど同社製品に幅広く搭載されている。Ormandy氏によれば、MsMpEngは「NT AUTHORITY\SYSTEM」で実行されており、ExchangeやInternet Information Services(IIS)を含むさまざまなWindowsのサービスを通じて認証を経ることなく、遠隔からMsMpEngにアクセスできてしまう。

 想定される攻撃シナリオでは、攻撃者はユーザーにメールを送り付けるだけで、ユーザーにメールを閲覧させたり、添付ファイルを開かせたりすることなく、MsMpEngにアクセスできる。ウェブブラウザのリンクやインスタントメッセージでも可能だという。MsMpEngは全てのファイルシステムの処理を監視しているため、攻撃者が細工したファイルをMsMpEngにスキャンさせることで、LocalSystemアカウントによって脆弱性が悪用されてしまう。

 Ormandy氏は、攻撃の概念実証(PoC=Proof of Concept)コードも合わせて公開し、「覚えている最近の脆弱性の中では最も深刻であり、非常におぞましいものだ」とツイートした。

 Microsoftのセキュリティアドバイザリーによると、脆弱性はMsMpEngのバージョン1.1.13701.0までに存在するもよう。同社は、脆弱性を修正したバージョン1.1.13704.0をリリースした。遅くともリリースから48時間以内に、定義ファイルの更新に合わせてMsMpEngも最新バージョンにアップデートされるため、ユーザーが特別な対応をする必要はないと説明している。

 脆弱性の影響を受ける製品は、Forefront Endpoint Protection 2010、Endpoint Protection、Forefront Security for SharePoint Service Pack 3、System Center Endpoint Protection、Security Essentials、Windows Defender for Windows 7/8.1/RT 8.1/10/Server 2016、Intune Endpoint Protectionとなっている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. ビジネスアプリケーション

    生成 AI 「Gemini」活用メリット、職種別・役職別のプロンプトも一挙に紹介

  2. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  3. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  4. セキュリティ

    マンガで分かる「クラウド型WAF」の特徴と仕組み、有効活用するポイントも解説

  5. セキュリティ

    VPNの欠点を理解し、ハイブリッドインフラを支えるゼロトラストの有効性を確認する

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]