Microsoftのマルウェアスキャンエンジンに最悪な脆弱性、修正パッチが緊急公開

　Microsoftは9日、「Microsoft Malware Protection Engine（MPE）」の脆弱性「CVE-2017-0290」を修正するセキュリティ更新プログラム（修正パッチ）を緊急公開した。

　Microsoft MPEの実行ファイル名は「MsMpEng.exe」で、Windows 10/8.1/8に組み込まれた「Windows Defender」やWindows 7向けの「Microsoft Security Essentials」といったMicrosoftのセキュリティ製品で使用されるエンジン。企業向けの「Windows Intune Endpoint Protection」「Microsoft System Center Endpoint Protection」などでも利用されている。

　脆弱性の影響を受けるのは、Microsoft MPEのバージョン「1.1.13701.0」以前。スクリプトエンジンにメモリ破損の脆弱性があり、攻撃者が特別に細工したファイルをスキャンした場合に、リモートから任意のコードをLocalSystemアカウントのセキュリティコンテキストで実行され、システムが制御される可能性がある。

　MsMpEngはファイルシステムにおける処理を監視し、自動的にスキャンを行っている。このため、ユーザーがメールを閲覧したり添付ファイルを開いたりしなくても、攻撃者はメールを送り付けたり、ウェブサイトでURLリンクをクリックさせるだけで、細工したファイルをスキャンさせることができるという。

　脆弱性の発見者であるGoogleの研究者であるTavis Ormandy氏は6日に、この脆弱性について「最近の記憶では最悪のRCE脆弱性を発見した。クレイジーだ」とツイートしている。