セキュリティ アドバイザリ

Microsoft セキュリティ アドバイザリ 2491888

公開日: 2011 年 2 月 23 日 |更新日: 2011 年 3 月 8 日

バージョン: 1.1

Microsoft は、このセキュリティ アドバイザリをリリースして、Microsoft マルウェア対策エンジンの更新プログラムが Microsoft に報告されたセキュリティの脆弱性にも対処していることをお客様が認識できるようにしています。 この更新プログラムは、有効なログオン資格情報を持つ攻撃者が特別に細工されたレジストリ キーを作成した後に、Microsoft マルウェア保護エンジンがシステムをスキャンした場合に特権の昇格を可能にする、非公開で報告された脆弱性に対処します。 攻撃者がこの脆弱性を悪用した場合、LocalSystem アカウントと同じユーザー権限を取得する可能性があります。 この脆弱性は、匿名ユーザーによって悪用される可能性がありません。

Microsoft マルウェア対策エンジンは、いくつかの Microsoft マルウェア対策製品の一部であるため、影響を受ける製品の更新されたマルウェア定義と共に、Microsoft マルウェア保護エンジンの更新プログラムがインストールされます。 エンタープライズ インストールの管理管理者は、確立された内部プロセスに従って、定義とエンジンの更新プログラムが更新管理ソフトウェアで承認され、それに応じてクライアントが更新プログラムを使用するようにする必要があります。

通常、この更新プログラムの自動検出と展開の組み込みメカニズムは、今後 48 時間以内に更新プログラムを適用するため、エンタープライズ管理者またはエンド ユーザーがこの更新プログラムをインストールする必要はありません。 正確な期間は、使用されるソフトウェア、インターネット接続、およびインフラストラクチャの構成によって異なります。

この問題の詳細については、次のリファレンスを参照してください。

*このバージョンは、この脆弱性の影響を受ける Microsoft マルウェア対策エンジンの最後のバージョンです。

**お使いのバージョンの Microsoft マルウェア対策エンジンがこのバージョン以上の場合、この脆弱性の影響を受けず、それ以上の操作を行う必要はありません。 ソフトウェアが現在使用しているエンジンのバージョン番号を確認する方法の詳細については、Microsoft サポート技術情報の記事の「更新プログラムのインストールの確認」 2510781を参照してください。

次のソフトウェアは、影響を受けるバージョンまたはエディションを特定するためにテストされています。 その他のバージョンまたはエディションは、サポート ライフサイクルを過ぎたか、影響を受けません。 ソフトウェアのバージョンまたはエディションのサポート ライフサイクルを決定するには、Microsoft サポート ライフサイクルにアクセスしてください。

Microsoft マルウェア対策エンジンは、いくつかの Microsoft マルウェア対策製品の一部です。 どの影響を受ける Microsoft マルウェア対策製品がインストールされているかに応じて、この更新プログラムの重大度評価が異なる場合があります。 次の重大度評価は、脆弱性の潜在的な最大影響を想定しています。

影響を受けるソフトウェア

^[1]2011 年 2 月以前のバージョンの Microsoft 悪意のあるソフトウェア削除ツールにのみ適用されます。

影響を受けるソフトウェア以外のソフトウェア

次の表は、このアドバイザリで対処されている脆弱性の悪用可能性評価を示しています。

このテーブル操作方法使用しますか?

この表を使用して、このアドバイザリ リリースから 30 日以内に悪用コードがリリースされる可能性について説明します。 デプロイに優先順位を付けるために、特定の構成に従って、以下の評価を確認する必要があります。 これらの評価の意味と決定方法の詳細については、Microsoft Exploitability Index を参照してください。

2011 年 3 月 8 日にこの勧告が改訂された理由
このアドバイザリが最初にリリースされたとき、悪意のあるソフトウェア削除ツール (MSRT) の更新バージョンは使用できませんでした。 Microsoft は、この脆弱性に対処する更新バージョンの MSRT を 2011 年 3 月 8 日火曜日にリリースしました。 その日付以降にリリースされた MSRT のバージョンは、このセキュリティ アドバイザリで説明されている脆弱性の影響を受けません。

このセキュリティ アドバイザリが最初にリリースされたときに、悪意のあるソフトウェア削除ツール (MSRT) の更新プログラムが利用できなかったのはなぜですか?
この脆弱性は、MSRT が最初に提供され、自動更新を使用してダウンロードされたときに、2011 年 2 月以前のバージョンの MSRT でのみ悪用される可能性があります。 Microsoft は、2011 年 3 月 8 日火曜日に悪意のあるソフトウェア削除ツールの問題に対処するための更新バージョンをリリースしました。 その日付以降にリリースされた MSRT のバージョンは、このセキュリティ アドバイザリで説明されている問題に対して脆弱ではありません。 MSRT は、自動更新を使用してダウンロードした場合に 1 回だけ実行されます。 攻撃者は、脆弱なバージョンの MSRT を手動で実行することにより、この脆弱性を悪用できませんでした。

Microsoft は、この脆弱性に対処するためにセキュリティ情報をリリースしていますか?
いいえ。 Microsoft はこの情報セキュリティ アドバイザリをリリースし、この Microsoft マルウェア対策エンジンの更新プログラムが Microsoft に報告されたセキュリティの脆弱性にも対処していることをお客様が認識できるようにしています。

通常、エンタープライズ管理者またはエンド ユーザーがこの更新プログラムをインストールする操作は必要ありません。

通常、この更新プログラムのインストールに必要なアクションがないのはなぜですか?
絶えず変化する脅威の状況に対応して、Microsoft はマルウェア定義と Microsoft マルウェア保護エンジンを頻繁に更新します。 新しい脅威や一般的な脅威から保護するために、マルウェア対策ソフトウェアは、これらの更新プログラムをタイムリーに最新の状態に保つ必要があります。

エンタープライズ展開とエンド ユーザーの場合、Microsoft マルウェア対策ソフトウェアの既定の構成は、マルウェア定義と Microsoft マルウェア保護エンジンが自動的に最新の状態に保たれるようにするのに役立ちます。 製品ドキュメントでは、自動更新用に製品を構成することも推奨されています。

ベスト プラクティスでは、Microsoft マルウェア保護エンジンの更新プログラムやマルウェア定義の自動展開など、ソフトウェア配布が環境内で期待どおりに動作しているかどうかを定期的に確認することをお勧めします。

Microsoft マルウェア保護エンジンとマルウェア定義はどのくらいの頻度で更新されますか?
通常、Microsoft は、月に 1 回、または新しい脅威から保護するために必要に応じて、Microsoft マルウェア対策エンジンの更新プログラムをリリースします。 Microsoft は通常、マルウェア定義を 1 日に 3 回更新し、必要に応じて頻度を上げることができます。

どの Microsoft マルウェア対策ソフトウェアが使用され、どのように構成されているかに応じて、ソフトウェアは、インターネットに接続されている場合にエンジンと定義の更新プログラムを毎日、毎日複数回検索できます。 お客様は、更新プログラムをいつでも手動でチェックすることもできます。

更新プログラムをインストールするにはどうすればよいですか?
エンタープライズ インストールの管理管理者は、確立された内部プロセスに従って、定義とエンジンの更新プログラムが更新管理ソフトウェアで承認され、それに応じてクライアントが更新プログラムを使用するようにする必要があります。

最新の定義のインストールの詳細については、Microsoft マルウェア プロテクション センターを参照するか、製品ドキュメントを参照してください。

エンド ユーザーの場合、このセキュリティ更新プログラムは自動更新またはマルウェア対策ソフトウェアを使用して自動的にダウンロードおよびインストールされるため、これ以上の操作は必要ありません。 マルウェア対策ソフトウェアを構成する方法については、製品のドキュメントを参照してください。

この更新プログラムを手動でインストールするエンド ユーザーについては、次の表を参照してください。

Microsoft Update で利用可能な更新は、[重要] と表示されます。 次の表のかっこ () に記載されている例のような名前のソフトウェアの適切な更新プログラムを探します。

注: 特定の Microsoft マルウェア対策製品のこの更新プログラムの展開の詳細については、マイクロソフト サポート技術情報の記事2510781を参照してください。

Microsoft マルウェア対策エンジンとは 
Microsoft マルウェア対策エンジンは、mpengine.dll、Microsoft ウイルス対策およびスパイウェア対策ソフトウェアのスキャン、検出、およびクリーン機能を提供します。 詳細については、このアドバイザリの「Microsoft マルウェア対策エンジンの展開」セクションを参照してください。

Microsoft マルウェア対策テクノロジに関する詳細情報はどこで確認できますか? 
詳細については、Microsoft マルウェア プロテクション センター Web サイトを参照してください。

ISA サーバーが影響を受けるソフトウェアまたは影響を受けなかったソフトウェアの一覧に表示されないのはなぜですか? 
Microsoft Internet Security and Acceleration (ISA) Server は Forefront Threat Management Gateway 2010 (TMG) の前身ですが、ISA Server には Microsoft マルウェア保護エンジンが含まれていないため、このアドバイザリでは考慮されません。 Microsoft マルウェア保護エンジンを使用したマルウェア スキャンは、Forefront TMG で最初に導入されました。 Forefront TMG の新機能の詳細については、Forefront Threat Management Gateway 2010 のページ「 新機能」を参照してください。

この脆弱性の範囲は何ですか?
これは特権の昇格の脆弱性です。 攻撃者がこの脆弱性を悪用した場合、LocalSystem アカウントのセキュリティ コンテキストで任意のコードが実行される可能性があります。 このような攻撃者はプログラムをインストールしたり、データの閲覧、変更、削除を行ったり、完全なユーザー権限を持つ新しいアカウントを作成したりできるようになります。

この脆弱性の原因は何ですか? 
この脆弱性は、攻撃者が特別に細工された値に設定したレジストリ キーを Microsoft マルウェア対策エンジンが適切に処理できない場合に発生します。

攻撃者はこの脆弱性を使用して何を行う可能性がありますか? 
攻撃者がこの脆弱性を悪用した場合、LocalSystem アカウントのセキュリティ コンテキストで任意のコードを実行し、システムを完全に制御する可能性があります。 このような攻撃者はプログラムをインストールしたり、データの閲覧、変更、削除を行ったり、完全なユーザー権限を持つ新しいアカウントを作成したりできるようになります。

LocalSystem アカウントとは 
LocalSystem アカウントは、サービス コントロール マネージャーによって使用される定義済みのローカル アカウントです。 ローカル コンピューターに対する広範な特権があり、ネットワーク上のコンピューターとして機能します。 そのトークンには NT AUTHORITY\SYSTEM と BUILTIN\管理istrators SID が含まれます。これらのアカウントは、ほとんどのシステム オブジェクトにアクセスできます。 LocalSystem アカウントのコンテキストで実行されるサービスは、Service Control Manager のセキュリティ コンテキストを継承します。 ほとんどのサービスでは、このような高い特権レベルは必要ありません。 詳細については、MSDN の記事 「LocalSystem アカウント」を参照してください。

攻撃者がこの脆弱性を悪用する方法 
この脆弱性により、影響を受けるバージョンの Microsoft マルウェア対策エンジンによって、特別に細工されたレジストリの場所がスキャンされる必要があります。 この脆弱性を悪用するには、攻撃者はまずシステムにログオンし、次にユーザー レジストリ キーを特別に細工された値に設定する必要があります。

影響を受けるマルウェア対策ソフトウェアでリアルタイム保護が有効になっている場合、Microsoft マルウェア対策エンジンは自動的に場所をスキャンし、脆弱性の悪用につながり、攻撃者が影響を受けるシステムを完全に制御できるようになります。 リアルタイム スキャンが有効になっていない場合、攻撃者は、脆弱性が悪用され、影響を受けるシステムを完全に制御するために、スケジュールされたスキャンが発生するまで待機する必要があります。 攻撃者は、手動でスキャンを開始することによって、この脆弱性を悪用することはできません。

さらに、この脆弱性の悪用は、影響を受けるバージョンの悪意のあるソフトウェア削除ツール (MSRT) を使用してシステムがスキャンされるときに発生する可能性があります。 ただし、現在のバージョンの MSRT が既にシステムで実行されている場合、攻撃者はこの MSRT を使用してこの脆弱性を悪用することはできません。

どのシステムが主に脆弱性のリスクにさらされていますか? 
ワークステーションとターミナル サーバーは主に危険にさらされます。 十分な管理アクセス許可を持たないユーザーに、サーバーにログオンしてプログラムを実行する機能が付与されている場合、サーバーのリスクが高くなります。 ただし、ベスト プラクティスではこれを許可しないことを強くお勧めします。

更新プログラムは何を行いますか? 
この更新プログラムは、Microsoft マルウェア対策エンジンがレジストリから読み取った値を処理する方法を修正することで、この脆弱性を解決します。

このセキュリティ アドバイザリが発行されたとき、この脆弱性は公開されていましたか? 
いいえ。 Microsoft は、調整された脆弱性の開示を通じて、この脆弱性に関する情報を受け取りました。

このセキュリティ アドバイザリが発行されたとき、Microsoft はこの脆弱性が悪用されたという報告を受け取りましたか? 
いいえ。 Microsoft は、このセキュリティ アドバイザリが最初に発行されたときに、この脆弱性が顧客を攻撃するために一般に使用されたことを示す情報を受け取っていませんでした。

軽減策とは、既定の状態に存在する設定、一般的な構成、または一般的なベスト プラクティスを指します。これにより、この問題の重大度が低下する可能性があります。 次の軽減要因は、状況に役立つ場合があります。

• この脆弱性を悪用するには、攻撃者が有効なログオン資格情報を持っている必要があります。 この脆弱性は、匿名ユーザーによって悪用される可能性がありません。
• 攻撃者は、2011 年 2 月以前のバージョンの悪意のあるソフトウェア削除ツール (MSRT) を使用してこの脆弱性を悪用する可能性があります。このバージョンの MSRT がまだシステム上で実行されていない場合に限ります。 このアドバイザリが最初にリリースされたとき、エンド ユーザーの大半は、2011 年 2 月バージョンの MSRT が既にダウンロードされ、自動更新によって自動的に実行されていました。 Microsoft は、2011 年 3 月 8 日火曜日に悪意のあるソフトウェア削除ツールの問題に対処するための更新バージョンをリリースしました。 その日付以降にリリースされた MSRT のバージョンは、このセキュリティ アドバイザリで説明されている問題に対して脆弱ではありません。

通常、エンタープライズ管理者またはエンド ユーザーがこの更新プログラムをインストールするために必要なアクションはありません。 Microsoft では、マルウェア定義を常に最新の状態に保つことをお勧めします。 お客様は、最新バージョンの Microsoft マルウェア対策エンジンと定義の更新プログラムが、Microsoft マルウェア対策製品用にアクティブにダウンロードおよびインストールされていることを確認する必要があります。

エンタープライズマルウェア対策展開の管理管理者は、更新プログラム管理ソフトウェアが、エンジンの更新プログラムと新しいマルウェア定義を自動的に承認して配布するように構成されていることを確認する必要があります。 また、エンタープライズ管理者は、最新バージョンの Microsoft マルウェア対策エンジンと定義の更新プログラムが、その環境でアクティブにダウンロード、承認、展開されていることを確認する必要があります。

影響を受けるソフトウェアは、エンド ユーザーに対して、この更新プログラムの自動検出と展開のための組み込みメカニズムを提供します。 これらのお客様の場合、更新プログラムは利用可能から 48 時間以内に適用されます。 正確な期間は、使用されるソフトウェア、インターネット接続、およびインフラストラクチャの構成によって異なります。 待ち望まないエンド ユーザーは、マルウェア対策ソフトウェアを手動で更新できます。

Microsoft マルウェア対策エンジンとマルウェア定義を手動で更新する方法の詳細については、マイクロソフト サポート技術情報の記事2510781を参照するか、このアドバイザリについてよく寄せられる質問 (FAQ) のセクションを参照してください。

Microsoft は、お客様を保護するために Microsoft と協力していただきありがとうございます。

• Microsoft マルウェア対策エンジンの 脆弱性を報告するための Argenis の Cerrudo (CVE-2011-0037)

お客様のセキュリティ保護を強化するために、Microsoft は、毎月のセキュリティ更新プログラムのリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供します。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に更新された保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーによって提供されるアクティブな保護 Web サイトにアクセスしてください。

• Microsoft のヘルプとサポートフォーム、カスタマー サービスのお問い合わせフォームに入力することで、 フィードバックを提供できます。

• 米国およびカナダのお客様は、セキュリティ サポートからテクニカル サポートを受けることができます。 使用可能なサポート オプションの詳細については、Microsoft のヘルプとサポートを参照してください。
• 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 国際サポートの問題について Microsoft に問い合わせる方法の詳細については、国際サポートを参照してください。
• Microsoft TechNet Security は、Microsoft 製品のセキュリティに関する追加情報を提供します。

このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

• V1.0 (2011 年 2 月 23 日): アドバイザリが公開されました。
• V1.1 (2011 年 3 月 8 日): MSRT の更新バージョンを発表し、影響を受けのないソフトウェアの一覧に Forefront Security for Exchange Server を追加するために、アドバイザリ FAQ を改訂しました。

ビルド日: 2014-04-18T13:49:36Z-07:00