マイクロソフトセキュリティ情報 MS13-034 - 重要

[アーティクル]
12/06/2019

Microsoft Antimalware Client の脆弱性により、特権が昇格される (2823482)

公開日: 2013年4月10日 | 最終更新日: 2013年10月9日

バージョン: 1.2

概説

概要

このセキュリティ更新プログラムは、非公開で報告された Microsoft Antimalware Client の脆弱性を解決します。この脆弱性により、Microsoft Antimalware Client が使用するパス名が原因で、特権が昇格される可能性があります。攻撃者はこの脆弱性を悪用し、任意のコードを実行し、影響を受けるコンピューターを完全に制御する可能性があります。その後、攻撃者はプログラムのインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。この脆弱性が悪用されるには、有効なログオン資格情報を所有していることが攻撃者にとっての必要条件となります。匿名ユーザーにより、この脆弱性が悪用されることはないと思われます。

このセキュリティ更新プログラムは、Windows 8 および Windows RT 上のサポートされているバージョンの Windows Defender に含まれている Microsoft Antimalware Client について深刻度は「重要」です。このセキュリティ更新プログラムは、その他のマイクロソフトのマルウェア対策プログラムに含まれている Microsoft Antimalware Client については深刻度の評価がありません。詳細情報については、このセクションの「影響を受けるソフトウェアおよび影響を受けないソフトウェア」のサブセクションを参照してください。

このセキュリティ更新プログラムは、Microsoft Antimalware Client が使用するパス名を修正することにより、この脆弱性を解決します。これらの脆弱性の詳細については、次の「脆弱性の情報」のセクションの特定の脆弱性に関するサブセクション「よく寄せられる質問 (FAQ)」を参照してください。

推奨する対応策: ほとんどのお客様は自動更新を有効にしていて、このセキュリティ更新プログラムが自動的にダウンロードおよびインストールされるため、特別な措置を講じる必要はありません。自動更新を有効にしていない場合、この更新プログラムを手動で確認し、インストールする必要があります。自動更新の具体的な構成オプションの詳細については、サポート技術情報 294871 を参照してください。

管理者およびエンタープライズのインストール、またはこのセキュリティ更新プログラムを手動でインストールしたいエンドユーザーは、更新プログラムの管理ソフトウェアまたは Microsoft Update サービスで更新プログラムを確認して、この更新プログラムをできる限り早期に適用することを推奨します。

このセキュリティ情報の後半の「検出および展開ツールとガイダンス」を参照してください。

サポート技術情報

サポート技術情報	2823482
ファイルに関する情報	あり
SHA1/SHA2 ハッシュ	あり
既知の問題	なし

影響を受けるソフトウェアおよび影響を受けないソフトウェア

ここに記載されているソフトウェアをテストし、影響を受けるバージョンまたはエディションを確認しました。その他のバージョンまたはエディションはサポートライフサイクルが終了したか、または影響を受けません。ご使用中のソフトウェアのバージョンまたはエディションのサポートライフサイクルを確認するには、マイクロソフトサポートライフサイクルの Web サイトを参照してください。

影響を受けるソフトウェア

マルウェア対策ソフトウェア	最も深刻な脆弱性の影響	総合的な深刻度	置き換えられる更新プログラム
Windows 8 および Windows RT 上の Windows Defender[1] (2781197)	特権の昇格	重要	なし

^[1] この更新プログラムは、Windows Update を介して入手可能です。

影響を受けないソフトウェア

マルウェア対策ソフトウェア
Windows Defender for Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2
Microsoft Security Essentials
Microsoft Forefront Client Security
Microsoft Forefront Endpoint Protection 2010
Microsoft System Center 2012 Endpoint Protection
Microsoft System Center 2012 Endpoint Protection Service Pack 1
Windows Intune Endpoint Protection
Microsoft System Center 2012 Endpoint Protection for Linux
Microsoft System Center 2012 Endpoint Protection for Mac
Microsoft System Center 2012 Endpoint Protection for Mac Service Pack 1
Microsoft 悪意のあるソフトウェアの削除ツール
Microsoft Antigen for Exchange
Microsoft Antigen for SMTP Gateway
Forefront Security for Exchange Server
Forefront Protection 2010 for Exchange Server
Forefront Threat Management Gateway 2010 Service Pack 2
Microsoft Forefront Security for SharePoint
Forefront Security for Office Communications Server
Microsoft Standalone System Sweeper (Microsoft Diagnostics and Recovery Toolset の一部)

更新プログラムに関する FAQ

この更新プログラムには、セキュリティ関連以外の機能への変更が含まれていますか?
はい。この更新プログラムには、このセキュリティ情報の「脆弱性の詳細」のセクションに記載されている変更のほか、サポート技術情報 2781197 で説明されている他の機能に関する変更が含まれています。

Windows Defender とは何ですか?
Windows Defender は、Windows 8 に含まれるようになった無料のマルウェア対策ソフトウェアです。これは、マルウェアおよびほかの潜在的に迷惑なソフトウェアからユーザーのコンピュータを保護する手助けとなります。Windows Defender は、リアルタイムの保護と随時実行可能なスキャンのオプションを提供します。

この更新プログラムは、Windows Defender のどのバージョンの Microsoft Antimalware Client に適用されますか?
Microsoft Antimalware Client のバージョンが 4.2.223.0 以上の場合は、クライアントが既に更新されているため、その他の対策を行う必要はありません。Microsoft Antimalware Client のバージョンが 4.2.223.0 未満の場合は、更新プログラムをインストールする必要があります。

ソフトウェアが現在使用しているクライアントのバージョン番号を確認する方法の詳細については、サポート技術情報 2510781 の「更新プログラムが正しくインストールされたかどうか確認する方法」を参照してください。

Microsoft Antimalware Client は、 Microsoft Malware Protection Engine およびマルウェアの定義の更新で更新されますか?
いいえ。マイクロソフトは、Microsoft Update サービスなどの標準的な配布方法を通じて、Microsoft Antimalware Client 用の更新プログラムをリリースします。Microsoft Antimalware Client の更新プログラムは、マルウェアの定義の更新とは別のものです。

マイクロソフトのマルウェア対策技術に関する詳細情報はどこで入手できますか?
詳細については、Microsoft Malware Protection Center の Web サイト (英語情報) を参照してください。

このセキュリティ情報で説明しているソフトウェアの旧バージョンを使用しています。どうすればよいですか?
このセキュリティ情報に記載されている影響を受けるソフトウェアのテストを行い、影響を受けるリリースを確認しました。その他のリリースは、サポートライフサイクルが終了しました。製品のライフサイクルに関する詳細については、マイクロソフトサポートライフサイクルの Web サイトを参照してください。

今後、脆弱性の影響を受けないようにするため、旧リリースのソフトウェアを使用しているお客様は、サポート対象のリリースに移行することを強く推奨します。使用するソフトウェアのサポートライフサイクルを確認するには、サービスパックライフサイクルポリシーを参照してください。これらのソフトウェアのリリースのサービスパックの詳細については、サービスパックライフサイクルポリシーを参照してください。

以前のソフトウェアに関するカスタムサポートが必要なお客様は、担当営業、またはマイクロソフトアカウントチームの担当者、担当テクニカルアカウントマネージャー (TAM)、またはカスタムサポートオプションのマイクロソフトパートナー担当者までご連絡ください。プレミア契約をお持ちでないお客様は、マイクロソフトサポート契約センター (営業時間 9:30-12:00 13:00-19:00 土日祝祭日を除く TEL:0120-17-0196 FAX:03-5388-8253) までお問い合わせください。連絡先の情報は、Microsoft Worldwide Information Web サイトの Contact Information のプルダウンリストから国を選択し、[Go] ボタンをクリックすると、連絡先の電話番号が表示されます。お問い合わせの際、お住まいの地域のプレミアサポート営業担当にご連絡ください。詳細については、マイクロソフトサポートライフサイクルポリシー FAQ を参照してください。

脆弱性の情報

深刻度および脆弱性識別番号

次の深刻度の評価は、脆弱性の影響が最も深刻な場合を想定しています。深刻度の評価およびセキュリティ上の影響に関連して、このセキュリティ情報の公開から 30 日間でこの脆弱性が悪用される可能性に関する情報については、4 月のセキュリティ情報の概要の Exploitability Index (悪用可能性指標) を参照してください。詳細については、Microsoft Exploitability Index (悪用可能性指標) を参照してください。

影響を受けるソフトウェアごとの脆弱性の深刻度および最大のセキュリティ上の影響
マルウェア対策ソフトウェア	Microsoft Antimalware の不適切なパス名の脆弱性 - CVE-2013-0078	総合的な深刻度
Windows 8 および Windows RT 上の Windows Defender	重要特権の昇格	重要

Microsoft Antimalware の不適切なパス名の脆弱性 - CVE-2013-0078

これは、特権の昇格の脆弱性です。攻撃者がこの脆弱性を悪用した場合、LocalSystem アカウントのセキュリティコンテキストで任意のコードを実行して、システムを完全に制御する可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります。この脆弱性が悪用されるには、有効なログオン資格情報を所有していることが攻撃者にとっての必要条件となります。匿名ユーザーにより、この脆弱性が悪用されることはないと思われます。

Common Vulnerabilities and Exposures のリストの標準のエントリとしてこの脆弱性を確認するには、CVE-2013-0078 を参照してください。

問題を緩和する要素

緩和する要素は、既定の状態における設定、一般的な構成または最善策を示し、脆弱性悪用の深刻度が下がる場合があります。お客様の状況で、次の「緩和する要素」が役立つ場合があります。

この脆弱性が悪用されるには、有効なログオン資格情報を所有していることが攻撃者にとっての必要条件となります。匿名ユーザーにより、この脆弱性が悪用されることはないと思われます。
Windows 8 の既定の構成では、標準のユーザーは、システムのルートディレクトリにファイルを書き込むためのアクセス許可を持っていません。これにより、デフォルトの構成では、標準のユーザーが脆弱性の悪用に必要なアクセス許可を持っていないことになるため、脆弱性が緩和されます。

回避策

回避策は、根本的な脆弱性を正すものではありませんが、更新プログラムを適用するまでの間、既知の攻撃方法の阻止に役立つ設定または構成の変更を示します。マイクロソフトは次の回避策をテストし、回避策が機能性を低下させるかどうかの情報を提供しています。

Windows 8 および Windows RT システムでの Windows Defender イメージパス名の修正

この回避策を使用して、Windows 8 および Windows RT システムの脆弱性に対する攻撃方法をブロックします。

警告: レジストリエディターを正しく使用しないと、深刻な問題が生じ、オペレーティングシステムの再インストールが必要になる場合があります。マイクロソフトは、レジストリエディターを正しく使用しない場合に起こる問題の解決について、保証はできません。レジストリエディターは、お客様各自の責任において使用してください。
1. レジストリキーのバックアップを作成します。バックアップコピーは、次のコマンドを管理者として実行することにより管理された展開スクリプトを使用して作成できます。
```
Regedit.exe /e c:\temp\Windefend_backup.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend
```
  注: 管理者として実行すると、上記のコマンドにより"Windefend_backup.reg" という名前のファイルが c:\temp フォルダーに作成されます。
2. 次の内容を持つ、Windefend_ImagePath_fix.reg という名前のテキストファイルを作成します。
```
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend]
"ImagePath"=hex(2):22,00,25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,\
69,00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,\
00,20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,4d,00,73,00,\
4d,00,70,00,45,00,6e,00,67,00,2e,00,65,00,78,00,65,00,22,00,00,00
```
  Windefend_ImagePath_fix.reg ファイルを c:\temp フォルダに保存します。
3. 以下のいずれかの方法を使用して、ステップ 2 で作成したレジストリスクリプトファイルを対象となるシステムで実行します。
  
  方法 1:
  
  Windefend_ImagePath_fix.reg ファイルをダブルクリックします。
  
  次の確認メッセージが表示されます。
  
  The keys and values contained in C:\temp\Windefend_ImagePath_fix.reg have been successfully added to the registry.
  
  方法 2:
  
  または、次のコマンドを管理者と実行します。
  
  Regedit /s c:\temp\Windefend_ImagePath_fix.reg
  
  警告: 上記のコマンドラインによる方法を使用する場合、確認メッセージは表示されません。レジストリキーと値が正常にレジストリに追加されたかどうかは通知されません。
回避策の影響: なし。この回避策はイメージのパス名を正しい値に変更します。

回避策の解除方法:

次のいずれかの方法を使用して、上記のステップ 1 で作成したバックアップファイルを復元します。
- Windefend_backup.reg ファイルをダブルクリックします。
  
  次の確認メッセージが表示されます。
  
  The keys and values contained in C:\temp\Windefend_backup.reg have been successfully added to the registry.
- または、次のコマンドを管理者として実行します。
  
  Regedit /s c:\temp\Windefend_backup.reg
  
  警告: 上記のコマンドラインによる方法を使用する場合、確認メッセージは表示されません。レジストリキーと値が正常にレジストリに追加されたかどうかは通知されません。

よく寄せられる質問

この脆弱性により、どのようなことが起こる可能性がありますか?
これは、特権の昇格の脆弱性です。

何が原因で起こりますか?
この脆弱性は、Microsoft Antimalware Client が不適切なパス名を使用したときに起こります。

この脆弱性を利用して、攻撃者は何を行う可能性がありますか?
攻撃者がこの脆弱性を悪用した場合、LocalSystem アカウントのセキュリティコンテキストで任意のコードを実行して、システムを完全に制御する可能性があります。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除などを行ったり、完全なユーザー権限を持つ新たなアカウントを作成したりする可能性があります。

この脆弱性が悪用されるには、有効なログオン資格情報を所有していることが攻撃者にとっての必要条件となります。匿名ユーザーにより、この脆弱性が悪用されることはないと思われます。

LocalSystem アカウントとは何ですか?
LocalSystem アカウントは、サービスコントロールマネージャーが使用する定義済みのローカルアカウントです。このアカウントはローカルコンピューターで広範な特権を持ち、ネットワーク上のコンピューターのように動作します。そのトークンには NT AUTHORITY\SYSTEM および BUILTIN\Administrators の SID が含まれ、これらのアカウントはほとんどのシステムオブジェクトへのアクセスを持っています。LocalSystem アカウントのコンテキストで実行されるサービスは、サービスコントロールマネージャーのセキュリティコンテキストを継承します。ほとんどのサービスは、そのような高い特権レベルを必要としません。詳細については、MSDN の記事「LocalSystem Account」(英語情報) を参照してください。

攻撃者はこの脆弱性を悪用するために、どのような方法を用いると考えられますか?
この脆弱性の悪用には、攻撃者はまずシステムにログオンする必要があります。そして、この脆弱性を悪用できる特別に細工したアプリケーションを実行する可能性があります。

主にどのようなコンピューターがこの脆弱性による危険にさらされますか?
主に Windows 8 ワークステーションがこの脆弱性の危険にさらされます。

この更新プログラムはどのように問題を修正しますか?
このセキュリティ更新プログラムは、Microsoft Antimalware Client が使用するパス名を修正することにより、この脆弱性を解決します。

このセキュリティアドバイザリの公開時に、この脆弱性は一般に知られていましたか?
いいえ。マイクロソフトは信頼のおける情報元からこの脆弱性に関する情報を受けました。

このセキュリティアドバイザリの公開時に、マイクロソフトはこの脆弱性が悪用されたという報告を受けていましたか？
いいえ。マイクロソフトは、このセキュリティ情報が最初に公開された際に、これらの脆弱性が一般で悪用され、お客様が攻撃されていたことを示す情報を受けていませんでした。

更新プログラムに関する情報

検出および展開ツールとガイダンス

管理者がセキュリティ更新プログラムを展開するときに役立つリソースがいくつかあります。

Microsoft Baseline Security Analyzer (MBSA) を使用して、管理者はローカルシステムとリモートシステムの不足しているセキュリティ更新プログラムと一般的な誤ったセキュリティ構成をスキャンできます。
Windows Server Update Services (WSUS)、Systems Management Server (SMS)、および System Center Configuration Manager (SCCM) は、管理者がセキュリティ更新プログラムを配布するときに役に立ちます。
Application Compatibility Toolkit に含まれている Update Compatibility Evaluator コンポーネントは、インストールされているアプリケーションに対する Windows の更新プログラムのテストおよび確認を効率化する手助けをします。

これらのツールの詳細、およびネットワーク経由でセキュリティ更新プログラムを展開するためのガイダンスについては、「セキュリティツール」を参照してください。

セキュリティ更新プログラムの展開

影響を受けるソフトウェア

影響を受けるソフトウェア用の特定のセキュリティ更新プログラムについては、該当リンクの情報を参照してください。

Antimalware Client の更新プログラム

必要条件

このセキュリティ更新プログラムは、次のいずれかのマルウェア対策プログラムがインストールされている必要があります:

Windows 8 および Windows RT 上の Windows Defender

更新プログラムのインストール

マルウェア対策を展開する企業の管理者は、それぞれの更新管理ソフトウェアが、Microsoft Antimalware Client、Microsoft Malware Protection Engine、および定義の更新を自動で承認および配布するように、正しく構成してください。

エンドユーザーだけでなく企業での展開の場合も、一般的に、更新プログラムは更新管理ソフトウェアまたは自動更新を通じてダウンロードおよびインストールされます。

エンドユーザーは、オペレーティングシステムおよびマルウェア対策ソフトウェアによっては、Microsoft Update サービスまたは Windows Update サービスを使用して更新プログラムがないかどうか確認することにより、マルウェア対策クライアントをソフトウェアを手動で更新することもできます。詳細については、次の表を参照してください。

ソフトウェア	更新のメカニズム
Windows 8 および Windows RT 上の Windows Defender	Windows Update

Windows 8 用の Windows Defender の更新プログラムパッケージは、マイクロソフトダウンロードセンターからもダウンロードできます。ダウンロードリンクについては、サポート技術情報 2781197 を参照してください。

更新プログラムが正しくインストールされたかどうか確認する方法:

Microsoft Antimalware Client のバージョン番号を確認することで、この更新プログラムがインストールされたかどうかを確認できます。

Microsoft Antimalware Client のバージョンが 4.2.223.0 と等しい場合、更新プログラムがインストールされています。

注意 Microsoft Antimalware Client のバージョンが 4.2.223.0 以上のバージョンの場合は、マルウェア対策プログラムがこの脆弱性の影響を受けないため、それ他の対策を行う必要はありません。

再起動の必要性

はい。セキュリティ更新プログラムを適用してから、コンピューターを再起動する必要があります。

更新プログラムの削除

[コントロールパネル]、[システムとセキュリティ]、[WindowsUpdate]、[インストールされた更新プログラム]の順にクリックし、更新プログラムの一覧から選択します。

マイクロソフトセキュリティ情報 MS13-034 - 重要

Microsoft Antimalware Client の脆弱性により、特権が昇格される (2823482)

概説

概要

サポート技術情報

影響を受けるソフトウェアおよび影響を受けないソフトウェア

更新プログラムに関する FAQ

脆弱性の情報

深刻度および脆弱性識別番号

Microsoft Antimalware の不適切なパス名の脆弱性 - CVE-2013-0078

問題を緩和する要素

回避策

よく寄せられる質問

更新プログラムに関する情報

検出および展開ツールとガイダンス

セキュリティ更新プログラムの展開

Antimalware Client の更新プログラム

関連情報

謝辞

Microsoft Active Protections Program (MAPP)

サポート

免責

更新履歴

その他のリソース

その他のリソース

マイクロソフト セキュリティ情報 MS13-034 - 重要

Microsoft Antimalware Client の脆弱性により、特権が昇格される (2823482)

概説

概要

サポート技術情報

影響を受けるソフトウェアおよび影響を受けないソフトウェア

更新プログラムに関する FAQ

脆弱性の情報

深刻度および脆弱性識別番号

Microsoft Antimalware の不適切なパス名の脆弱性 - CVE-2013-0078

問題を緩和する要素

回避策

よく寄せられる質問

更新プログラムに関する情報

検出および展開ツールとガイダンス

セキュリティ更新プログラムの展開

Antimalware Client の更新プログラム

関連情報

謝辞

Microsoft Active Protections Program (MAPP)

サポート

免責

更新履歴

その他のリソース

その他のリソース

マイクロソフトセキュリティ情報 MS13-034 - 重要