Microsoftは、Windows Defender、Microsoft Security Essentials、およびその他のツールに搭載されているMicrosoft Malware Protection Engineの重大な脆弱性を修正しました。この脆弱性は、5月3日にGoogleの開示プラットフォーム「Project Zero」で非公開で報告され、5月8日にMicrosoftが顧客向けのセキュリティアドバイザリを公開した際に公表されました。
同社はセキュリティアドバイザリの中で、攻撃者がこの脆弱性を悪用して「プログラムのインストール、データの表示、変更、削除、あるいは完全なユーザー権限を持つ新規アカウントの作成」を行う可能性があると述べています。そのためには、攻撃者はMicrosoftマルウェア対策エンジンによるスキャンを意図した「特別に細工されたファイル」を作成する必要がありました。スキャンが実行されると、ファイルはこの脆弱性を悪用し、標的のシステムに侵入して乗っ取ります。
さらに悪いことに、この脆弱性を発見した研究者たちは、悪意のあるファイルをダウンロードしたり開いたりしなくても、侵害される可能性があると述べています。
ワークステーション上では、攻撃者はユーザーにメールを送信する(メールを読んだり添付ファイルを開いたりする必要はありません)、Webブラウザでリンクにアクセスする、インスタントメッセージなどを通じてmpengineにアクセスできます。このレベルのアクセスは、MsMpEngがファイルシステムミニフィルターを使用してすべてのシステムファイルシステムアクティビティを傍受・検査することで可能になります。そのため、制御されたコンテンツをディスク上の任意の場所に書き込むだけで(例:キャッシュ、インターネット一時ファイル、ダウンロード(未確認のダウンロードも含む)、添付ファイルなど)、mpengineの機能にアクセスできます。MsMpEngは独自のコンテンツ識別システムを使用しているため、MIMEタイプとファイル拡張子はこの脆弱性とは関係ありません。
そのため、悪意のあるファイルをダウンロードして開くよりも、この脆弱性を悪用することが容易になります。そのため、マイクロソフトは「MsMpEngの脆弱性は、サービスの「特権、アクセス性、そして普遍性」により、Windowsにおいて最も深刻なものの一つである」と述べています。彼らは特定のマイクロソフト製品に問題があるのではなく、他の多くのユーティリティの基盤となるツールに重大な問題を発見したのです。
「Mpengineは広大かつ複雑な攻撃対象領域であり、数十種類もの難解なアーカイブ形式のハンドラー、実行ファイルパッカーや暗号化ツール、様々なアーキテクチャや言語に対応したフルシステムエミュレーターやインタープリターなどから構成されています」と研究者らは述べている。「これらのコードはすべてリモート攻撃者からアクセス可能です。」朗報としては、マイクロソフトはアドバイザリの中で、この脆弱性が公表される前に悪用されたという証拠はないと述べている。
これはあなたにとって何を意味するのでしょうか?おそらく何もありません。Microsoft Malware Protection Engine を利用するツールは、Microsoft の法人顧客と一般消費者の両方において、デフォルトで自動的に最新の状態に保たれます。しかし、もしあなたがこの自動更新をブロックするように設定を変更していた場合は、このパッチをインストールして、攻撃者がこの公開された脆弱性を悪用できないようにする必要があります。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
アップデートのインストール方法や、自動インストールの確認方法については、Microsoftのナレッジベースをご覧ください。また、先週見逃した方は、Intelプロセッサのファームウェアアップデートにも注意することをお勧めします。5月1日に、IntelのActive Management Technology(AMT)、Intel Standard Manageability(ISM)、Intel Small Business Technology(SBT)ソフトウェアに脆弱性が公表されたためです。この脆弱性は、比較的新しいKaby Lakeプロセッサを含む、2008年以降にリリースされたすべてのIntelチップに影響します。
ナサニエル・モットは、Tom's Hardware US のフリーランスのニュースおよび特集記事ライターであり、最新ニュース、セキュリティ、テクノロジー業界の最も面白い側面などを扱っています。
