Microsoft製品に搭載されているマルウェア対策エンジン「MsMpEng」に、遠隔から任意のコードを実行可能な脆弱性が見つかった。Microsoftは5月8日にセキュリティアドバイザリーを公開した。
脆弱性は、Googleで脆弱性を研究するTavis Ormandy氏が6日に報告した。MsMpEngは、WindowsやSecurity Essentials、System Centre Endpoint Protectionなど同社製品に幅広く搭載されている。Ormandy氏によれば、MsMpEngは「NT AUTHORITY\SYSTEM」で実行されており、ExchangeやInternet Information Services(IIS)を含むさまざまなWindowsのサービスを通じて認証を経ることなく、遠隔からMsMpEngにアクセスできてしまう。
想定される攻撃シナリオでは、攻撃者はユーザーにメールを送り付けるだけで、ユーザーにメールを閲覧させたり、添付ファイルを開かせたりすることなく、MsMpEngにアクセスできる。ウェブブラウザのリンクやインスタントメッセージでも可能だという。MsMpEngは全てのファイルシステムの処理を監視しているため、攻撃者が細工したファイルをMsMpEngにスキャンさせることで、LocalSystemアカウントによって脆弱性が悪用されてしまう。
Ormandy氏は、攻撃の概念実証(PoC=Proof of Concept)コードも合わせて公開し、「覚えている最近の脆弱性の中では最も深刻であり、非常におぞましいものだ」とツイートした。
Microsoftのセキュリティアドバイザリーによると、脆弱性はMsMpEngのバージョン1.1.13701.0までに存在するもよう。同社は、脆弱性を修正したバージョン1.1.13704.0をリリースした。遅くともリリースから48時間以内に、定義ファイルの更新に合わせてMsMpEngも最新バージョンにアップデートされるため、ユーザーが特別な対応をする必要はないと説明している。
脆弱性の影響を受ける製品は、Forefront Endpoint Protection 2010、Endpoint Protection、Forefront Security for SharePoint Service Pack 3、System Center Endpoint Protection、Security Essentials、Windows Defender for Windows 7/8.1/RT 8.1/10/Server 2016、Intune Endpoint Protectionとなっている。