Microsoftのマルウェアスキャンエンジンにまた脆弱性、修正パッチを定例外で緊急公開

　Microsoftは6日、「Microsoft Malware Protection Engine（MPE）」における深刻度“緊急”の脆弱性「CVE-2017-11937」を修正するセキュリティ更新プログラム（修正パッチ）を公開した。

　MPEは、Windows 10/8.1/8に組み込まれた「Windows Defender」やWindows 7向けの「Microsoft Security Essentials」といったMicrosoftのセキュリティ製品で使用されるマルウェアスキャンエンジン。Windows Server 2016/2013やMicrosoft Exchange Server 2016/2013も影響を受けるが、デスクトップエクスペリエンス機能がインストールされていないWindows Server 2008 R2は影響を受けない。

　また、企業向けの「Windows Endpoint Protection」「Windows Intune Endpoint Protection」「Windows Forefront Endpoint Protection」「Microsoft Forefront Endpoint Protection 2010」でも影響を受ける。

　脆弱性があるのは、Microsoft MPEのバージョン「1.1.14306.0」以前。デフォルトの設定では、修正パッチは自動的にインストールされる。更新後のバージョンは「1.1.14405.2」となる。

　CVE-2017-11937は、攻撃者が特別に細工したファイルをMPEで適切にスキャンできなかった場合に、リモートからLocalSystemアカウントのセキュリティコンテキストで任意のコードを実行される可能性があるもの。プログラムのインストール、データの変更や削除、管理者アカウントの作成などにより、システムが制御されるおそれがある。

　Microsoft MPEの実行ファイル名は「MsMpEng.exe」。MsMpEngはファイルシステムにおける処理を監視し、自動的にスキャンを行っている。このため、ユーザーがメールを閲覧したり添付ファイルを開いたりしなくても、攻撃者はメールを送り付けたり、ウェブサイトでURLリンクをクリックさせるだけで細工したファイルをスキャンさせ、その結果、この脆弱性を突くことができる。