本サイトはサイト運営費捻出のため、アフィリエイト広告を利用しています。*詳細
Windows Malware Protection Engine の脆弱性を修正、遠隔から第三者に乗っ取られる脆弱性

Windows Malware Protection Engine の脆弱性を修正、遠隔から第三者に乗っ取られる脆弱性

ニュース
スポンサーリンク

目次

Windows Malware Protection Engine の脆弱性を修正、遠隔から第三者に乗っ取られる脆弱性

Google Project Zeroの研究員である、Tavis Ormandy氏とNatalie Silvanovich氏によって土曜日に発見された脆弱性が、本日配信された月間Windows Updateで修正されました。

Microsoftの対処スピードが非常に早く、大変驚かされました。また同時に、この脆弱性がいかに深刻な物なのかを物語っています。

脆弱性を発見した両氏も、とんでもなく重大な脆弱性で、最近見つかったリモートコード実行可能な脆弱性の中でも最悪な脆弱性だと評価していました。

脆弱性の内容

今回の脆弱性のトリガーは、特別に細工がされたファイルを、Windows Malware Protection Engineでスキャンすることだそうです。

このWindows Malware Protection Engineは、Windows Defender(Windows7以降のOSでプリインストールされている)や、Microsoft Security Essentials、Microsoft Forefront Endpoint Protection 2010、Microsoft Endpoint Protection、Microsoft Forefront Security for SharePoint SP3、Microsoft System Center Endpoint Protection、Windows Intune Endpoint Protectionなどのエンタープライズや個人向けのセキュリティ製品に利用されています。

これだけでも影響範囲が広大で、深刻な脆弱性の様に思えますが、この脆弱性が「とんでもなく重大な脆弱性」だと評価されるのに至ったもう一つの理由があります。

リアルタイムスキャンによる弊害

ウイルス対策ソフトには、リアルタイムスキャン機能というものが実装されています。

その名の通り、コンピューターの中に保存されたファイルをリアルタイムでスキャンする機能なのですが、特別に細工されたファイルをコンピューターに保存すると、リアルタイムスキャンで該当のファイルをスキャンします。

今回の脆弱性のトリガーは、特別に細工されたファイルを、Windows Malware Protection Engineでスキャンする、ことですからリアルタイムスキャン機能を有効にしていると、特別に細工されたファイルがコンピューターに保存された時点で、その脆弱性の影響を受けてしまいます。

コンピューターの中にファイルが保存されればいいわけですから、Webブラウザからファイルをダウンロードするだけでなく、未開封電子メールの添付ファイル、ブラウザによってキャッシュされた一時的なインターネットファイル、インターネットインフォメーションサービス(IIS)を実行するWindowsベースのWebサーバーでホストされているWebサイトに送信されたユーザーコンテンツなども当然影響を受けます。

更に、Windows Malware Protection Engineはその性質上、LocalSystem特権で動作しているため、この脆弱性が悪用されるとOS自体を完全に乗っ取られる可能性が非常に高いです。

マイクロソフトによると、具体的には、プログラムのインストール、データの閲覧、変更、削除、新しいアカウントの作成などが行うことが可能となると発表しています。

自動アップデートでは配信までに最大で48時間かかるる

自動アップデートを構成しているから安心、といいたいところですが、自動アップデートの配信には最大で48時間かかるため、その間に攻撃されてしまえばそれでおしまいです。

もちろんユーザー側で手動更新することも可能ですので、手動更新を行うことを強く推奨しています。

また、エンタープライズ向けのセキュリティ製品管理者は、エンドユーザーに対して、エンジンの更新と新しいマルウェア定義を自動的に承認して配布するように構成し、かつ最新バージョンのMicrosoft Malware Protection Engineと定義更新プログラムを積極的にエンドユーザーへ配信することを強く推奨しています。

なお、Microsoft Malware Protection Engineのバージョンが1.1.10701.0以降であれば問題ありません。

まとめ

連休明けに早速とんでもない爆弾が投下されてしまいましたね・・・

今回の脆弱性は非常に深刻で、簡単にWindowsを乗っ取られてしまうので、個人もエンタープライズユーザーも積極的にWindows Updateを実行する必要がありますね。

特に日本の個人ユーザーは、Windows Updateは時間がかかる、面倒だ、よく分からないから、といった理由で、Windows Updateを実施しないユーザーが多いため、このまま行けば非常に深刻な問題を引き起こしそうです。

Windows Updateが信用ならないと言う気持ちも分かりますが、仮想マシンや検証環境でサクッと検証して、さっさと適用したいところですね。

Source: COMPUTERWORLD