ニュース

Microsoftのマルウェアスキャンエンジン、修正パッチ緊急公開、5月以来3回目

x86版のWindows 10/8.1/7などに影響

 Microsoftは、「Microsoft Malware Protection Engine(MPE)」における深刻度“緊急”の脆弱性「CVE-2017-8558」を修正するセキュリティ更新プログラム(修正パッチ)を公開した。脆弱性の影響を受けるのは32ビット環境(x86)のWindowsのみで、64ビット環境では影響を受けない。

 MPEは、Windows 10/8.1/8に組み込まれた「Windows Defender」やWindows 7向けの「Microsoft Security Essentials」といったMicrosoftのセキュリティ製品で使用されるエンジン。Windows Server 2008 R2/2008も影響を受ける。企業向けの「Windows Endpoint Protection」「Windows Intune Endpoint Protection」「Windows Forefront Endpoint Protection」などでも利用されている。

 脆弱性の影響を受けるのは、Microsoft MPEのバージョン「1.1.13804.0」以前。デフォルトの設定では、修正パッチは自動的にインストールされる。更新後のバージョンは「1.1.13903.0」となる。

 CVE-2017-8558は、攻撃者が特別に細工したファイルをMPEで適切にスキャンできなかった場合に、リモートからLocalSystemアカウントのセキュリティコンテキストで任意のコードを実行される可能性があるもの。プログラムのインストール、データの変更や削除、管理者アカウントの作成などにより、システムが制御されるおそれがある。

 Microsoft MPEの実行ファイル名は「MsMpEng.exe」。MsMpEngはファイルシステムにおける処理を監視し、自動的にスキャンを行っている。このため、ユーザーがメールを閲覧したり添付ファイルを開いたりしなくても、攻撃者はメールを送り付けたり、ウェブサイトでURLリンクをクリックさせるだけで細工したファイルをスキャンさせ、その結果、この脆弱性を突くことができる。

 今回の脆弱性を発見したのは、5月9日、5月30日にもMPEの脆弱性を報告しているGoogle研究者のTavis Ormandy氏。今回の脆弱性についても、Google Project Zeroへ6月7日に投稿を行っていた。