2018年4月4日 13:47
Microsoftは3日、定例外のセキュリティ更新プログラム(修正パッチ)を緊急公開した。「Microsoft Malware Protection Engine(MPE)」における深刻度“緊急”の脆弱性「CVE-2018-0986」を修正する。
MPEは、Windows 10/8.1/8に組み込まれた「Windows Defender」や、Windows 7向けの「Microsoft Security Essentials」といったMicrosoftのセキュリティ製品で使用されるマルウェアスキャンエンジン。Windows Server 2016/2012 R2/2012/2008 R2、Microsoft Exchange Server 2016/2013も影響を受ける。
また、企業向け製品の「Windows Intune Endpoint Protection」「Windows Forefront Endpoint Protection」「Microsoft Forefront Endpoint Protection 2010」でも影響を受ける。
脆弱性があるのは、Microsoft MPEのバージョン「1.1.14600.4」以前。デフォルトの設定では、修正パッチは自動的にインストールされる。更新後のバージョンは「1.1.14700.5」となる。
CVE-2018-0986は、攻撃者が特別に細工したファイルをMPEで適切にスキャンできなかった場合に、LocalSystemアカウントのセキュリティコンテキストでリモートから任意のコードを実行される(RCE)可能性があるもの。プログラムのインストール、データの変更や削除、管理者アカウントの作成などにより、システムが制御されるおそれがある。
Microsoft MPEの実行ファイル名は「MsMpEng.exe」。MsMpEngはファイルシステムにおける処理を監視し、自動的にスキャンを行っている。このため、ユーザーがメールを閲覧したり添付ファイルを開いたりしなくても、攻撃者はメールを送り付けたり、ウェブサイトでURLリンクをクリックさせるだけで細工したファイルをスキャンさせ、その結果、この脆弱性を突くことができる。