Microsoft セキュリティ アドバイザリ 4022344

Microsoft Malware Protection Engineのセキュリティ更新プログラム

公開日: 2017 年 5 月 8 日 |更新日: 2017 年 5 月 12 日

バージョン: 1.2

概要

Microsoft は、このセキュリティ アドバイザリをリリースして、Microsoft Malware Protection Engineの更新プログラムが Microsoft に報告されたセキュリティの脆弱性に対処することをお客様に通知しています。

この更新プログラムは、Microsoft Malware Protection Engineが特別に細工されたファイルをスキャンした場合にリモートでコードが実行される可能性がある脆弱性を解決します。 攻撃者がこの脆弱性を悪用した場合、LocalSystem アカウントのセキュリティ コンテキストで任意のコードを実行し、システムを制御する可能性があります。

Microsoft Malware Protection Engineには、いくつかの Microsoft マルウェア対策製品が付属しています。 影響を 受ける 製品の一覧については、「影響を受けるソフトウェア」セクションを参照してください。 Microsoft Malware Protection Engineへの更新は、影響を受ける製品の更新されたマルウェア定義と共にインストールされます。 エンタープライズ インストールの管理者は、確立された内部プロセスに従って、定義とエンジンの更新プログラムが更新管理ソフトウェアで承認され、それに応じてクライアントが更新プログラムを使用するようにする必要があります。

通常、エンタープライズ管理者またはエンド ユーザーがMicrosoft Malware Protection Engineの更新プログラムをインストールする操作は必要ありません。これは、更新プログラムの自動検出と展開の組み込みメカニズムによって、リリースから 48 時間以内に更新プログラムが適用されるためです。 正確な期間は、使用されるソフトウェア、インターネット接続、インフラストラクチャの構成によって異なります。

このアドバイザリの情報は、 CVE-2017-0290 によって参照されるセキュリティ更新プログラム ガイドでも入手できます。

アドバイザリの詳細

問題の参考資料

この問題の詳細については、次のリファレンスを参照してください。

参照 [識別]
この脆弱性の影響を受けるMicrosoft Malware Protection Engineの最新バージョン バージョン 1.1.13701.0
この脆弱性が対処されたMicrosoft Malware Protection Engineの最初のバージョン バージョン 1.1.13704.0

*Microsoft Malware Protection Engineのバージョンがこのバージョン以上の場合、この脆弱性の影響を受けず、それ以上のアクションを実行する必要はありません。 ソフトウェアが現在使用しているエンジンのバージョン番号を確認する方法の詳細については、「 Microsoft サポート技術情報の記事 2510781」の「更新プログラムのインストールの確認」セクションを参照してください。

影響を受けるソフトウェア

次のソフトウェア バージョンまたはエディションが影響を受ける。 一覧にないバージョンまたはエディションは、サポート ライフ サイクルを過ぎているか、影響を受けられません。 ソフトウェアのバージョンまたはエディションのサポート ライフ サイクルを確認するには、「Microsoft サポート ライフサイクル」を参照してください。

マルウェア対策ソフトウェア Microsoft Malware Protection Engine リモートでコードが実行される脆弱性 - CVE-2017-0290
Microsoft Forefront Endpoint Protection 2010 クリティカル \ リモート コード実行
Microsoft Endpoint Protection クリティカル \ リモート コード実行
Microsoft System Center Endpoint Protection クリティカル \ リモート コード実行
Microsoft Security Essentials クリティカル \ リモート コード実行
Windows 7 のWindows Defender クリティカル \ リモート コード実行
Windows 8.1のWindows Defender クリティカル \ リモート コード実行
Windows RT 8.1 のWindows Defender クリティカル \ リモート コード実行
Windows 10、Windows 10 1511、Windows 10 1607、Windows Server 2016、Windows 10 1703 のWindows Defender クリティカル \ リモート コード実行
Windows Intune Endpoint Protection クリティカル \ リモート コード実行
Microsoft Exchange Server 2013 クリティカル \ リモート コード実行
Microsoft Exchange Server 2016 クリティカル \ リモート コード実行
Microsoft Windows Server 2008 R2 クリティカル \ リモート コード実行

悪用可能性インデックス

次の表は、今月対処された各脆弱性の悪用可能性評価を示しています。 脆弱性は、セキュリティ情報 ID、CVE ID の順に一覧表示されます。 セキュリティ情報に含まれているのは、重要度の評価が [重大] または [重要] である脆弱性のみです。

このテーブル操作方法使用しますか?

この表を使用して、インストールが必要になる可能性があるセキュリティ更新プログラムごとに、セキュリティ情報リリースから 30 日以内にコードが実行され、サービス拒否が悪用される可能性について説明します。 特定の構成に従って、以下の各評価を確認して、今月の更新プログラムのデプロイに優先順位を付けます。 これらの評価の意味と決定方法の詳細については、「 Microsoft Exploitability Index」を参照してください。

以下の列では、"最新のソフトウェア リリース" は対象ソフトウェアを指し、"古いソフトウェア リリース" は、セキュリティ情報の 「影響を受けるソフトウェア」および「影響を受けないもののソフトウェア」の表に記載されているように、対象ソフトウェアのサポートされているすべての古いリリースを指します。

CVE ID                     脆弱性のタイトル Exploitability Assessment for\ Latest Software Release Exploitability Assessment for\ 以前のソフトウェア リリース サービス拒否\ 悪用可能性評価
CVE-2017-0290 スクリプト エンジンのメモリ破損の脆弱性 2 - 悪用の可能性が低い 2 - 悪用の可能性が低い 該当なし

アドバイザリに関する FAQ

Microsoft は、この脆弱性に対処するためにセキュリティ情報をリリースしていますか?
いいえ。 Microsoft は、この情報セキュリティ アドバイザリをリリースして、Microsoft Malware Protection Engineの更新プログラムが Microsoft に報告されたセキュリティの脆弱性に対処することをお客様に通知しています。

通常、この更新プログラムをインストールするために、エンタープライズ管理者またはエンド ユーザーにアクションは必要ありません。

この更新プログラムをインストールするためにアクションが必要ないのはなぜですか? 
絶えず変化する脅威の状況に対応して、Microsoft はマルウェア定義とMicrosoft Malware Protection Engineを頻繁に更新します。 新しい脅威や一般的な脅威からの保護を効果的に行うために、マルウェア対策ソフトウェアは、これらの更新プログラムをタイムリーに最新の状態に保つ必要があります。

エンタープライズ展開とエンド ユーザーの場合、Microsoft マルウェア対策ソフトウェアの既定の構成は、マルウェア定義とMicrosoft Malware Protection Engineが自動的に最新の状態に保たれるようにするのに役立ちます。 製品ドキュメントでは、自動更新用に製品を構成することも推奨されています。

ベスト プラクティスでは、お客様は、Microsoft Malware Protection Engine更新プログラムやマルウェア定義の自動展開など、ソフトウェアの配布が環境で期待どおりに動作しているかどうかを定期的に確認することをお勧めします。

Microsoft Malware Protection Engineとマルウェアの定義はどのくらいの頻度で更新されますか? 
Microsoft は通常、Microsoft Malware Protection Engineの更新プログラムを月に 1 回、または新しい脅威から保護するために必要に応じてリリースします。 また、通常、Microsoft はマルウェア定義を 1 日 3 回更新し、必要に応じて頻度を上げることができます。

使用されている Microsoft マルウェア対策ソフトウェアとその構成方法に応じて、ソフトウェアは、インターネットに接続している場合にエンジンと定義の更新プログラムを毎日、毎日複数回検索できます。 お客様は、いつでも手動で更新プログラムをチェックすることもできます。

更新プログラムをインストールするにはどうすればよいですか?
この更新プログラムのインストール方法の詳細については、「 推奨されるアクション」セクションを参照してください。

Microsoft Malware Protection Engineとは
Microsoft Malware Protection Engine mpengine.dll は、Microsoft ウイルス対策およびスパイウェア対策ソフトウェアのスキャン、検出、クリーニング機能を提供します。

この更新プログラムには、機能に対する追加のセキュリティ関連の変更が含まれていますか?
はい。  この脆弱性の一覧に記載されている変更に加えて、この更新プログラムには、セキュリティ関連の機能を改善するための多層防御の更新プログラムが含まれています。

Microsoft マルウェア対策テクノロジに関する詳細情報はどこで確認できますか? 
詳細については、 Microsoft Malware Protection Center Web サイトを参照してください。

Microsoft Malware Protection Engineリモートでコードが実行される脆弱性 - CVE-2017-0290

Microsoft Malware Protection Engineが特別に細工されたファイルを適切にスキャンしないと、メモリが破損するリモート コード実行の脆弱性が存在します。

攻撃者がこの脆弱性を悪用した場合、LocalSystem アカウントのセキュリティ コンテキストで任意のコードを実行し、システムを制御する可能性があります。 このような攻撃者はプログラムをインストールしたり、データの閲覧、変更、削除を行ったり、完全なユーザー権限を持つ新しいアカウントを作成したりできるようになります。

この脆弱性を悪用するには、影響を受けるバージョンのMicrosoft Malware Protection Engineによって特別に細工されたファイルをスキャンする必要があります。 攻撃者は、Microsoft Malware Protection Engineによってスキャンされる場所に特別に細工されたファイルを配置する方法は多数あります。 たとえば、攻撃者は Web サイトを使用して、ユーザーが Web サイトを表示したときにスキャンされる、特別に細工されたファイルを被害者のシステムに配信する可能性があります。 また、攻撃者は、電子メール メッセージまたはファイルを開いたときにスキャンされるインスタント メッセンジャー メッセージを介して、特別に細工されたファイルを配信する可能性もあります。 さらに、攻撃者は、ユーザー提供のコンテンツを受け入れるかホストする Web サイトを利用して、特別に細工されたファイルを、ホスティング サーバー上で実行されているマルウェア保護エンジンによってスキャンされる共有の場所にアップロードする可能性があります。

影響を受けるマルウェア対策ソフトウェアでリアルタイム保護が有効になっている場合、Microsoft Malware Protection Engineによってファイルが自動的にスキャンされ、特別に細工されたファイルがスキャンされたときに脆弱性が悪用されます。 リアルタイム スキャンが有効になっていない場合、攻撃者は、脆弱性が悪用されるためにスケジュールされたスキャンが発生するまで待機する必要があります。 影響を受けるバージョンのマルウェア対策ソフトウェアを実行しているすべてのシステムは、主に危険にさらされます。

この更新プログラムは、Microsoft Malware Protection Engineが特別に細工されたファイルをスキャンする方法を修正することで、この脆弱性を解決します。

Microsoft は、調整された脆弱性の開示を通じて、この脆弱性に関する情報を受け取っています。

Microsoft は、このセキュリティ アドバイザリが最初に発行されたときに、この脆弱性が顧客を攻撃するために一般に使用されたことを示す情報を受け取っていませんでした。

Suggested Actions (推奨されるアクション)

  • 更新プログラムがインストールされていることを確認する
    お客様は、Microsoft マルウェア対策製品の最新バージョンのMicrosoft Malware Protection Engineと定義の更新プログラムがアクティブにダウンロードおよびインストールされていることを確認する必要があります。

    ソフトウェアが現在使用しているMicrosoft Malware Protection Engineのバージョン番号を確認する方法の詳細については、Microsoft サポート技術情報の記事「更新プログラムのインストールの確認」2510781を参照してください。

    影響を受けるソフトウェアの場合は、Microsoft Malware Protection Engineバージョンが 1.1.13704.0 以降であることを確認します。

  • 必要に応じて、更新プログラムをインストールします
    エンタープライズマルウェア対策展開の管理者は、更新プログラム管理ソフトウェアが、エンジンの更新プログラムと新しいマルウェア定義を自動的に承認および配布するように構成されていることを確認する必要があります。 また、エンタープライズ管理者は、最新バージョンのMicrosoft Malware Protection Engineと定義の更新プログラムが、環境でアクティブにダウンロード、承認、デプロイされていることを確認する必要があります。

    影響を受けるソフトウェアは、エンド ユーザーに対して、この更新プログラムの自動検出と展開のための組み込みメカニズムを提供します。 これらのお客様の場合、更新プログラムは可用性から 48 時間以内に適用されます。 正確な期間は、使用されるソフトウェア、インターネット接続、インフラストラクチャの構成によって異なります。 待機しないエンド ユーザーは、マルウェア対策ソフトウェアを手動で更新できます。

    Microsoft Malware Protection Engineとマルウェアの定義を手動で更新する方法の詳細については、マイクロソフト サポート技術情報の記事 2510781を参照してください。

謝辞

Microsoft 、お客様を保護するために Microsoft と協力していただきありがとうございます。

  • Google Project Zero のナタリー・シルヴァノヴィッチとタビス・オルマンディ

その他の情報

Microsoft Active Protections Program (MAPP)

Microsoft は、お客様のセキュリティ保護を強化するために、毎月のセキュリティ更新プログラムリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供しています。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に最新の保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、 Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーによって提供されるアクティブな保護 Web サイトにアクセスしてください。

フィードバック

サポート

免責情報

このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を否認します。 Microsoft Corporation またはそのサプライヤーがこのような損害の可能性を通知された場合でも、直接的、間接的、付随的、派生的、事業利益の損失、特別な損害を含むいかなる損害についても、Microsoft Corporation またはそのサプライヤーは一切の責任を負いません。 一部の州では、派生的または付随的損害に対する責任の除外または制限が認められていないため、前述の制限が適用されない場合があります。

リビジョン

  • V1.0 (2017 年 5 月 8 日): アドバイザリが公開されました。
  • V1.1 (2017 年 5 月 11 日): セキュリティ更新プログラム ガイドに同じ情報へのリンクを追加しました。 これは情報の変更のみです。
  • V1.2 (2017 年 5 月 12 日): 影響を受けるソフトウェア テーブルにエントリを追加しました。 これは情報の変更のみです。

Page generated 2017-06-14 10:20-07:00。