マイクロソフト セキュリティ アドバイザリ (2491888)

次の表に、このアドバイザリで解決した脆弱性のExploitability (悪用可能性) の評価を記載します。

この表はどのように使用しますか?
この表は、このアドバイザリの公開後 30 日以内に機能する悪用コードが公開される可能性について知るために使用します。適用の優先順位を決定するために、お客様の特定の構成に従って、下記の評価を検討してください。これらの評価の意味に関する詳細は、Microsoft Exploitability Index (悪用可能性指標) をご覧ください。

なぜこのアドバイザリは 2011 年 3 月 9 日に更新されたのですか?
このアドバイザリを最初に公開した時には、更新版の Microsoft 悪意のあるソフトウェアの削除ツール (MSRT) は利用可能ではありませんでした。マイクロソフトは、この脆弱性を解決する更新版の MSRT を 2011 年 3 月 9 日 (水曜日) に公開しました。2011 年 3 月 9 日、またはそれ以降に公開したバージョンの MSRT はこのセキュリティ アドバイザリで説明している脆弱性による影響は受けません。

このアドバイザリが最初に公開された時になぜ悪意のあるソフトウェアの削除ツール (MSRT) 用の更新プログラムが利用可能ではなかったのですか?
自動更新により MSRT が最初に提供およびダウンロードされた時点では、この脆弱性は 2011 年 2 月またはそれ以前のバージョンの MSRT によってのみ悪用される可能性がありました。マイクロソフトは、2011 年 3 月 9 日 (水曜日) に、悪意のあるソフトウェアの削除ツールに存在するこの問題を解決するため、更新版を公開しました。 2011 年 3 月 9 日、またはそれ以降に公開したバージョンの MSRT はこのセキュリティ アドバイザリで説明している脆弱性による影響は受けません。

MSRT は自動更新を使用してダウンロードされた場合、実行されるのは 1 回のみです。攻撃者が影響を受けるバージョンの MSRT を手動で実行して、この脆弱性を悪用することはありません。

マイクロソフトはこの脆弱性を解決するためにセキュリティ情報を公開しますか?
いいえ。マイクロソフトは、この情報を提供するセキュリティ アドバイザリを公開し、お客様が Microsoft Malware Protection Engine 用の更新プログラムが、マイクロソフトに報告されたセキュリティの脆弱性も解決することを正しく理解するために役立てていただきます。

通常、企業の管理者またはエンド ユーザーは、この更新プログラムをインストールするために措置を取る必要はありません。

なぜ、通常この更新プログラムをインストールするために何もする必要がないのですか？
絶え間なく変化している脅威のランドスケープに対応するため、マイクロソフトはマルウェアの定義および Microsoft Malware Protection Engine を頻繁に更新します。新たな脅威および蔓延している脅威を効果的に防御するために、このような更新プログラムにより、適時に対策ソフトウェアを最新にする必要があります。

エンド ユーザーと同様に、企業の展開では、マイクロソフトのマルウェア対策ソフトウェアの既定の構成が、マルウェア定義とMalware Protection Engine を自動的に最新に保つために役立ちます。製品ドキュメントも、製品を自動更新に構成するように推奨しています。

最善策として、Microsoft Malware Protection Engines の更新プログラムおよびマルウェアの定義の自動適用などのソフトウェアの配布が、お客様の環境で予定通りに機能しているかどうかを定期的に確認することを推奨します。

どのくらいの頻度で Microsoft Malware Protection Engine およびマルウェアの定義を更新しますか?
マイクロソフトは通常、毎月 1 回または新しい脅威に対する保護の必要性に応じて、Malware Protection Engine 用の更新プログラムを公開します。マイクロソフトは一般的にマルウェアの定義を毎日 3 回更新し、必要であればその頻度を高くします。

使用しているマイクロソフトのマルウェア対策ソフトウェアやその構成方法により、ソフトウェアはインターネット接続時に毎日、または 1 日に何度もエンジンおよび定義の更新を検索する場合があります。お客様は、更新プログラムをいつでも手動で確認するように選択することもできます。

この更新プログラムはどのようにインストールできますか?
企業のインストールの管理者は既存の社内プロセスに従い、定義およびエンジンの更新プログラムが更新プログラム管理ソフトウェアで承認され、それに応じてクライアントがその更新プログラムを適用することを確認してください。

最新の定義のインストールに関する詳細は、Microsoft Malware Protection Center (英語情報) または製品ドキュメントをご覧ください。

この更新プログラムは自動更新または使用されているマルウェア対策ソフトウェアにより自動的にダウンロードおよびインストールされるため、エンド ユーザーについては、それ以上の操作は必要ありません。マルウェア対策ソフトウェアの構成方法に関する詳細は、製品ドキュメントを確認してください。

この更新プログラムを手動でインストールしたいエンド ユーザーは次の表をご覧ください。

注: Microsoft Update により利用可能な更新プログラムは「重要」と表示されることに注意してください。下の表の丸かっこ ( ) 内に記載している例のように、ご使用のソフトウェア名で適切な更新プログラムを探してください。

注: この更新プログラムをマイクロソフトのマルウェア対策製品に適用する場合の詳細情報は、サポート技術情報 2510781 をご覧ください。

Microsoft Malware Protection Engine とは何ですか?
Microsoft Malware Protection Engine、mpengine.dll はマイクロソフトのウイルス対策およびスパイウェア対策ソフトウェアにスキャン、検出、クリーニング機能を提供します。詳細情報は、このアドバイザリ後半の「Microsoft Malware Protection Engine の展開」のセクションをご覧ください。

マイクロソフトのマルウェア対策技術に関する情報はどこで入手できますか?
詳細情報については、Microsoft Malware Protection Center (英語情報) をご覧ください。

なぜ ISA Server が「影響を受けるソフトウェア」または「影響を受けないソフトウェア」の一覧にないのですか？
Microsoft Internet Security and Acceleration (ISA) Server は Forefront Threat Management Gateway 2010 (TMG) の先行製品ですが、ISA Server に Microsoft Malware Protection Engine は含まれておらず、このアドバイザリに該当しないと考えています。Microsoft Malware Protection Engine を使用しているマルウェア スキャンは Forefront TMG で初めて導入されました。Forefront TMG の新機能に関する詳細は、Forefront Threat Management Gateway 2010 のページ What's New (英語情報) をご覧ください。

この脆弱性により、どのようなことが起こる可能性がありますか?
これは、特権の昇格の脆弱性です。攻撃者がこの脆弱性を悪用した場合、LocalSystem アカウントのセキュリティ コンテキストで任意のコードを実行する可能性があります。その後、攻撃者はプログラムのインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。

何が原因で起こりますか?
この脆弱性は、Microsoft Malware Protection Engine が、特別に細工された値に設定されているレジストリ キーを正しく処理しない場合に起こります。

攻撃者は、この脆弱性を悪用して何を行う可能性がありますか?
攻撃者がこの脆弱性を悪用した場合、LocalSystem アカウントのセキュリティ コンテキストで任意のコードを実行して、システムを完全に制御する可能性があります。その後、攻撃者はプログラムのインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。

LocalSystem アカウントとは何ですか?
LocalSystem アカウントは、サービス コントロール マネージャーが使用する定義済みのローカル アカウントです。このアカウントはローカル コンピューターで広範な特権を持ち、ネットワーク上のコンピューターのように動作します。そのトークンには NT AUTHORITY\SYSTEM および BUILTIN\Administrators SIDs が含まれ、これらのアカウントはほとんどのシステム オブジェクトへのアクセス許可を持っています。LocalSystem アカウントのコンテキストで実行されるサービスは、サービス コントロール マネージャーのセキュリティ コンテキストを継承します。ほとんどのサービスは、そのような高い特権レベルを必要としません。詳細情報は、MSDN の記事 LocalSystem Account (英語情報) をご覧ください。

攻撃者はこの脆弱性をどのように悪用する可能性がありますか?
この脆弱性では、特別に細工されたレジストリの場所を、影響を受けるバージョンの Microsoft Malware Protection Engine でスキャンする必要があります。この脆弱性が悪用されるには、まずシステムにログオンし、ユーザーのレジストリキーを特別に細工した値に設定することが攻撃者にとっての必要条件となります。

影響を受けるマルウェア対策ソフトウェアがリアルタイム保護を有効にしている場合、Microsoft Malware Protection Engine が場所を自動的にスキャンし、脆弱性を悪用するように誘導され、攻撃者が影響を受けるシステムを完全に制御する可能性があります。リアルタイム スキャンが有効にされていない場合、攻撃者が脆弱性を悪用し、影響を受けるシステムを完全に制御するには、定期的なスキャンが実行されるまで待つ必要があります。攻撃者が、スキャンを手動で開始して、この脆弱性を悪用する可能性はありません。

さらに、この脆弱性の悪用は、影響を受けるバージョンの悪意のあるソフトウェアの削除ツール (MSRT) を使用してシステムがスキャンされた場合に起こる可能性があります。しかし、現行バージョンの MSRT をシステムで実行済みの場合、攻撃者は MSRT を使用してこの脆弱性を悪用できません。

主に、どのコンピューターがこの脆弱性の危険にさらされますか?
主に、ワークステーションおよびターミナル サーバーが、この脆弱性による危険にさらされます。サーバーは、十分な管理者のアクセス許可を所有していないユーザーが、サーバーにログオンし、プログラムを実行する権限を得た場合にこの脆弱性による危険にさらされる可能性が高くなります。しかし、セキュリティ上の最善策として、これを許可しないことを強く推奨しています。

この更新プログラムはどのように問題を修正しますか?
この更新プログラムは、Microsoft Malware Protection Engine がレジストリから読み取られた値を処理する方法を修正することにより、この脆弱性を解決します。

このセキュリティアドバイザリの公開時に、この脆弱性は一般に知られていましたか?
いいえ。マイクロソフトは協調的な脆弱性の公開により、この脆弱性に関する情報を受けました。

このセキュリティアドバイザリの公開時に、マイクロソフトはこの脆弱性が悪用されたという報告を受けていましたか?
いいえ。マイクロソフトは、このセキュリティ情報が最初に公開された際に、この脆弱性が一般で悪用され、お客様が攻撃されていたことを示す情報を受けていませんでした。