ニュース
Microsoftのマルウェアスキャンエンジンにまた脆弱性、修正パッチを定例外で緊急公開
2017年12月7日 11:57
Microsoftは6日、「Microsoft Malware Protection Engine(MPE)」における深刻度“緊急”の脆弱性「CVE-2017-11937」を修正するセキュリティ更新プログラム(修正パッチ)を公開した。
MPEは、Windows 10/8.1/8に組み込まれた「Windows Defender」やWindows 7向けの「Microsoft Security Essentials」といったMicrosoftのセキュリティ製品で使用されるマルウェアスキャンエンジン。Windows Server 2016/2013やMicrosoft Exchange Server 2016/2013も影響を受けるが、デスクトップエクスペリエンス機能がインストールされていないWindows Server 2008 R2は影響を受けない。
また、企業向けの「Windows Endpoint Protection」「Windows Intune Endpoint Protection」「Windows Forefront Endpoint Protection」「Microsoft Forefront Endpoint Protection 2010」でも影響を受ける。
脆弱性があるのは、Microsoft MPEのバージョン「1.1.14306.0」以前。デフォルトの設定では、修正パッチは自動的にインストールされる。更新後のバージョンは「1.1.14405.2」となる。
CVE-2017-11937は、攻撃者が特別に細工したファイルをMPEで適切にスキャンできなかった場合に、リモートからLocalSystemアカウントのセキュリティコンテキストで任意のコードを実行される可能性があるもの。プログラムのインストール、データの変更や削除、管理者アカウントの作成などにより、システムが制御されるおそれがある。
Microsoft MPEの実行ファイル名は「MsMpEng.exe」。MsMpEngはファイルシステムにおける処理を監視し、自動的にスキャンを行っている。このため、ユーザーがメールを閲覧したり添付ファイルを開いたりしなくても、攻撃者はメールを送り付けたり、ウェブサイトでURLリンクをクリックさせるだけで細工したファイルをスキャンさせ、その結果、この脆弱性を突くことができる。