Microsoft は、マルウェア保護エンジンのリモート コード実行の脆弱性に対処するため、アウトオブバンド セキュリティ アップデートを公開しました。
レドモンド社によると、CVE-2017-11937と呼ばれるこの脆弱性は、まだ実際に悪用された事例はないとのことです。ただし、これはアウトオブバンドの重大な修正であるため、できるだけ早くインストールする必要があります。ほとんどのユーザーの場合、自動的にインストールされます。
このセキュリティ ホールは、Windows Defender および Microsoft Security Essentials だけでなく、Endpoint Protection、Forefront Endpoint Protection、Exchange Server 2013 および 2016 にも存在します。
このバグは、英国の諜報中枢である政府通信本部(GCHQ)の一部である英国国家サイバーセキュリティセンターによって発見され、報告された。
Microsoftによると、この脆弱性は、マルウェア対策エンジンがダウンロードしたファイルをスキャンして脅威の有無をチェックする際に発生する可能性があるとのことです。多くのシステムでは、この設定はすべての新規ファイルに対して自動的に実行されるように設定されています。
マルウェア スキャン ツールのメモリ破損エラーを悪用することで、攻撃ファイルは LocalSystem 権限を使用してターゲット マシン上でコードを実行できるようになります。
Windows Update が典型的なパッチ火曜日のスタイルで古いプリンターを壊す
続きを読む
「攻撃者が、Microsoftマルウェア対策エンジンによってスキャンされる場所に、細工されたファイルを置く方法は数多く存在します。例えば、攻撃者はウェブサイトを利用して、ユーザーがウェブサイトを閲覧した際にスキャンされるような細工されたファイルを被害者のシステムに送り込む可能性があります」とマイクロソフトは説明しています。
攻撃者は、電子メールメッセージやインスタントメッセンジャーメッセージを介して、特別に細工されたファイルを配信し、ファイルが開かれた際にスキャンされる可能性もあります。さらに、攻撃者は、ユーザー提供のコンテンツを受け入れたりホストしたりするウェブサイトを悪用し、ホスティングサーバー上で実行されるマルウェア対策エンジンによってスキャンされる共有場所に、特別に細工されたファイルをアップロードする可能性もあります。
Microsoft は、Malware Protection Engine が継続的に更新を受信するように設定されているため、ほとんどの家庭ユーザーと多くの企業顧客には修正プログラムが自動的に無線で配信されると指摘しています。
このアウトオブバンドアップデートは、マイクロソフトが12月12日の月例パッチで12月のセキュリティアップデートを公開する予定のわずか数日前にリリースされました。Adobeも通常、同日に月例パッチを公開しています。®
