Microsoftのマルウェアスキャンエンジン、修正パッチ緊急公開、5月以来3回目

　Microsoftは、「Microsoft Malware Protection Engine（MPE）」における深刻度“緊急”の脆弱性「CVE-2017-8558」を修正するセキュリティ更新プログラム（修正パッチ）を公開した。脆弱性の影響を受けるのは32ビット環境（x86）のWindowsのみで、64ビット環境では影響を受けない。

　MPEは、Windows 10/8.1/8に組み込まれた「Windows Defender」やWindows 7向けの「Microsoft Security Essentials」といったMicrosoftのセキュリティ製品で使用されるエンジン。Windows Server 2008 R2/2008も影響を受ける。企業向けの「Windows Endpoint Protection」「Windows Intune Endpoint Protection」「Windows Forefront Endpoint Protection」などでも利用されている。

　脆弱性の影響を受けるのは、Microsoft MPEのバージョン「1.1.13804.0」以前。デフォルトの設定では、修正パッチは自動的にインストールされる。更新後のバージョンは「1.1.13903.0」となる。

　CVE-2017-8558は、攻撃者が特別に細工したファイルをMPEで適切にスキャンできなかった場合に、リモートからLocalSystemアカウントのセキュリティコンテキストで任意のコードを実行される可能性があるもの。プログラムのインストール、データの変更や削除、管理者アカウントの作成などにより、システムが制御されるおそれがある。

　Microsoft MPEの実行ファイル名は「MsMpEng.exe」。MsMpEngはファイルシステムにおける処理を監視し、自動的にスキャンを行っている。このため、ユーザーがメールを閲覧したり添付ファイルを開いたりしなくても、攻撃者はメールを送り付けたり、ウェブサイトでURLリンクをクリックさせるだけで細工したファイルをスキャンさせ、その結果、この脆弱性を突くことができる。

　今回の脆弱性を発見したのは、5月9日、5月30日にもMPEの脆弱性を報告しているGoogle研究者のTavis Ormandy氏。今回の脆弱性についても、Google Project Zeroへ6月7日に投稿を行っていた。