セキュリティ アドバイザリ

Microsoft セキュリティ アドバイザリ 2846338

Microsoft マルウェア対策エンジンの脆弱性により、リモートでコードが実行される

公開日: 2013 年 5 月 14 日

バージョン: 1.0

一般情報

概要

Microsoft は、このセキュリティ アドバイザリをリリースして、Microsoft マルウェア対策エンジンの更新プログラムが Microsoft に報告されたセキュリティの脆弱性にも対処していることをお客様が認識できるようにしています。 この更新プログラムは、Microsoft マルウェア対策エンジンが特別に細工されたファイルをスキャンした場合に、リモートでコードが実行される可能性がある脆弱性を解決します。 攻撃者がこの脆弱性を悪用した場合、LocalSystem アカウントのセキュリティ コンテキストで任意のコードを実行し、システムを完全に制御する可能性があります。

この脆弱性は、サービス拒否として公開されています。

Microsoft マルウェア対策エンジンは、いくつかの Microsoft マルウェア対策製品の一部です。 影響を受ける製品の 一覧については、「影響を受けるソフトウェア 」セクションを参照してください。 Microsoft マルウェア対策エンジンへの更新は、影響を受ける製品の更新されたマルウェア定義と共にインストールされます。 エンタープライズ インストールの管理管理者は、確立された内部プロセスに従って、定義とエンジンの更新プログラムが更新管理ソフトウェアで承認され、それに応じてクライアントが更新プログラムを使用するようにする必要があります。

通常、Microsoft Malware Protection Engine の更新プログラムをインストールする場合、エンタープライズ管理者やエンド ユーザーはアクションを実行する必要はありません。これは、更新プログラムの自動検出と展開の組み込みメカニズムによって、今後 48 時間以内に更新プログラムが適用されるためです。 正確な期間は、使用されるソフトウェア、インターネット接続、およびインフラストラクチャの構成によって異なります。

軽減要因:

  • 影響を受けるのは、x64 ベースのバージョンのマルウェア対策エンジンのみです。

アドバイザリの詳細

問題のリファレンス

この問題の詳細については、次のリファレンスを参照してください。

リファレンス [識別]
CVE リファレンス CVE-2013-1346
この脆弱性の影響を受ける最新バージョンの Microsoft マルウェア対策エンジン バージョン 1.1.9402.0
この脆弱性が対処された Microsoft マルウェア対策エンジンの最初のバージョン バージョン 1.1.9506.0*

*お使いのバージョンの Microsoft Malware Protection Engine がこのバージョン以上の場合、この脆弱性の影響を受けず、それ以上の操作を行う必要はありません。 ソフトウェアが現在使用しているエンジンのバージョン番号を確認する方法の詳細については、Microsoft サポート技術情報の記事の「更新プログラムのインストールの確認」 2510781を参照してください。

影響を受けるソフトウェア

次のソフトウェアは、影響を受けるバージョンまたはエディションを特定するためにテストされています。 その他のバージョンまたはエディションは、サポート ライフサイクルを過ぎたか、影響を受けません。 ソフトウェアのバージョンまたはエディションのサポート ライフサイクルを決定するには、Microsoft サポート ライフサイクルにアクセスしてください。

Microsoft マルウェア対策エンジンは、いくつかの Microsoft マルウェア対策製品の一部です。 どの影響を受ける Microsoft マルウェア対策製品がインストールされているかに応じて、この更新プログラムの重大度評価が異なる場合があります。 次の重大度評価は、脆弱性の潜在的な最大影響を想定しています。

影響を受けるソフトウェア

マルウェア対策ソフトウェア Microsoft マルウェア対策エンジンの脆弱性 - CVE-2013-1346
Microsoft Forefront Client Security (x64) 重要 \ リモート コード実行
Microsoft Forefront Endpoint Protection 2010 (x64) 重要 \ リモート コード実行
Microsoft Forefront Security for SharePoint Service Pack 3 (x64) 重要 \ リモート コード実行
Microsoft System Center 2012 Endpoint Protection (x64) 重要 \ リモート コード実行
Microsoft System Center 2012 Endpoint Protection Service Pack 1 (x64) 重要 \ リモート コード実行
Microsoft 悪意のあるソフトウェア削除ツール (x64)[1] 重要 \ リモート コード実行
Microsoft Security Essentials (x64) 重要 \ リモート コード実行
Microsoft Security Essentials プレリリース (x64) 重要 \ リモート コード実行
Windows Defender for Windows 8 (x64) 重要 \ リモート コード実行
Windows Defender for Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2 (x64) 重要 \ リモート コード実行
Windows Defender オフライン (x64) 重要 \ リモート コード実行
Windows Intune Endpoint Protection (x64) 重要 \ リモート コード実行

[1]2013 年 4 月以前のバージョンの Microsoft 悪意のあるソフトウェア削除ツールにのみ適用されます。

影響を受けるソフトウェア以外のソフトウェア

マルウェア対策ソフトウェア
マルウェア対策エンジンを実行しない
Microsoft Forefront Server Security Management Console
Microsoft Internet Security and Acceleration (ISA) Server
マルウェア対策エンジンの脆弱なバージョンを実行しません
Microsoft Antigen for Exchange
SMTP ゲートウェイの Microsoft 抗原
Microsoft System Center 2012 Endpoint Protection for Linux
Microsoft System Center 2012 Endpoint Protection for Mac
Microsoft Forefront Protection 2010 for Exchange Server
Microsoft Forefront Security for Exchange Server Service Pack 2
Microsoft Forefront Security for Office Communications Server
Microsoft Forefront Threat Management Gateway 2010
Microsoft Forefront Client Security (x86)
Microsoft Forefront Endpoint Protection 2010 (x86)
Microsoft Forefront Security for SharePoint Service Pack 3 (x86)
Microsoft 悪意のあるソフトウェア削除ツール (x86)
Microsoft Security Essentials (x86)
Microsoft Security Essentials プレリリース (x86)
Microsoft System Center 2012 Endpoint Protection (x86)
Microsoft System Center 2012 Endpoint Protection Service Pack 1 (x86)
Microsoft System Center 2012 Endpoint Protection for Mac Service Pack 1
Windows Defender for Windows 8 (x86)
Windows Defender for Windows RT
Windows Defender for Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows Server 2008 R2 (x86)
Windows Defender オフライン (x86)
Windows Intune Endpoint Protection (x86)

Exploitability Index

次の表は、このアドバイザリで対処されている脆弱性の悪用可能性評価を示しています。

このテーブル操作方法使用しますか?

この表を使用して、このアドバイザリ リリースから 30 日以内に悪用コードがリリースされる可能性について説明します。 デプロイに優先順位を付けるために、特定の構成に従って、以下の評価を確認する必要があります。 これらの評価の意味と決定方法の詳細については、Microsoft Exploitability Index を参照してください

脆弱性のタイトル CVE ID 最新のソフトウェア リリースの悪用可能性評価 以前のソフトウェア リリースの悪用可能性評価 サービス拒否の悪用可能性評価 主な注意事項
Microsoft マルウェア対策エンジンの脆弱性 CVE-2013-1346 2 - コードを悪用するのは難しい 2 - コードを悪用するのは難しい 一時 影響を受けるのは、x64 バージョンのマルウェア対策エンジンのみです。\ \ この脆弱性は、サービス拒否として公開されています。

アドバイザリに関する FAQ

Microsoft は、この脆弱性に対処するためにセキュリティ情報をリリースしていますか?
いいえ。 Microsoft はこの情報セキュリティ アドバイザリをリリースし、この Microsoft マルウェア対策エンジンの更新プログラムが Microsoft に報告されたセキュリティの脆弱性にも対処していることをお客様が認識できるようにしています。

通常、エンタープライズ管理者またはエンド ユーザーがこの更新プログラムをインストールする操作は必要ありません。

通常、この更新プログラムのインストールに必要なアクションがないのはなぜですか?
絶えず変化する脅威の状況に対応して、Microsoft はマルウェア定義と Microsoft マルウェア保護エンジンを頻繁に更新します。 新しい脅威や一般的な脅威から保護するために、マルウェア対策ソフトウェアは、これらの更新プログラムをタイムリーに最新の状態に保つ必要があります。

エンタープライズ展開とエンド ユーザーの場合、Microsoft マルウェア対策ソフトウェアの既定の構成は、マルウェア定義と Microsoft マルウェア保護エンジンが自動的に最新の状態に保たれるようにするのに役立ちます。 製品ドキュメントでは、自動更新用に製品を構成することも推奨されています。

ベスト プラクティスでは、Microsoft マルウェア保護エンジンの更新プログラムやマルウェア定義の自動展開など、ソフトウェア配布が環境内で期待どおりに動作しているかどうかを定期的に確認することをお勧めします。

Microsoft マルウェア保護エンジンとマルウェア定義はどのくらいの頻度で更新されますか?
通常、Microsoft は、月に 1 回、または新しい脅威から保護するために必要に応じて、Microsoft マルウェア対策エンジンの更新プログラムをリリースします。 Microsoft は通常、マルウェア定義を 1 日に 3 回更新し、必要に応じて頻度を上げることができます。

どの Microsoft マルウェア対策ソフトウェアが使用され、どのように構成されているかに応じて、ソフトウェアは、インターネットに接続されている場合、エンジンと定義の更新プログラムを毎日、毎日複数回検索できます。 お客様は、更新プログラムをいつでも手動でチェックすることもできます。

更新プログラムをインストールするにはどうすればよいですか?
この更新プログラムをインストールする方法の詳細については、「 推奨されるアクション」セクションを参照してください。

Microsoft マルウェア対策エンジンとは
Microsoft マルウェア対策エンジンは、mpengine.dll、Microsoft ウイルス対策およびスパイウェア対策ソフトウェアのスキャン、検出、およびクリーン機能を提供します。 詳細については、このアドバイザリの「Microsoft マルウェア対策エンジンの展開」セクションを参照してください。

Microsoft マルウェア対策テクノロジに関する詳細情報はどこで確認できますか?
詳細については、Microsoft マルウェア プロテクション センター Web サイトを参照してください。

「Microsoft マルウェア対策エンジンの脆弱性」のよく寄せられる質問 - CVE-2013-1346

この脆弱性の範囲は何ですか?
これは、リモートでコードが実行される脆弱性です。

この脆弱性の原因は何ですか?
この脆弱性は、Microsoft マルウェア対策エンジンが特別に細工されたファイルを正しくスキャンせず、メモリが破損した場合に発生します。

攻撃者はこの脆弱性を使用して何を行う可能性がありますか?
攻撃者がこの脆弱性を悪用した場合、LocalSystem アカウントのセキュリティ コンテキストで任意のコードを実行し、システムを完全に制御する可能性があります。 このような攻撃者はプログラムをインストールしたり、データの閲覧、変更、削除を行ったり、完全なユーザー権限を持つ新しいアカウントを作成したりできるようになります。

LocalSystem アカウントとは
LocalSystem アカウントは、サービス コントロール マネージャーによって使用される定義済みのローカル アカウントです。 ローカル コンピューターに対する広範な特権があり、ネットワーク上のコンピューターとして機能します。 そのトークンには NT AUTHORITY\SYSTEM と BUILTIN\管理istrators SID が含まれます。これらのアカウントは、ほとんどのシステム オブジェクトにアクセスできます。 LocalSystem アカウントのコンテキストで実行されるサービスは、Service Control Manager のセキュリティ コンテキストを継承します。 ほとんどのサービスでは、このような高い特権レベルは必要ありません。 詳細については、MSDN の記事 「LocalSystem アカウント」を参照してください

攻撃者がこの脆弱性を悪用する方法
この脆弱性を悪用するには、影響を受けるバージョンの Microsoft マルウェア対策エンジンによって特別に細工されたファイルをスキャンする必要があります。 攻撃者が Microsoft マルウェア保護エンジンによってスキャンされた場所に特別に細工されたファイルを配置する方法は多数あります。 たとえば、攻撃者は Web サイトを使用して、ユーザーが Web サイトを表示したときにスキャンされる、特別に細工されたファイルを被害者のシステムに配信する可能性があります。 攻撃者は、電子メール メッセージを介して、またはファイルを開いたときにスキャンされるインスタント メッセンジャー メッセージで、特別に細工されたファイルを配信する可能性もあります。 さらに、攻撃者は、ユーザーが提供するコンテンツを受け入れるかホストする Web サイトを利用して、特別に細工されたファイルを、ホスティング サーバー上で実行されているマルウェア保護エンジンによってスキャンされる共有の場所にアップロードする可能性があります。

影響を受けるマルウェア対策ソフトウェアでリアルタイム保護が有効になっている場合、Microsoft マルウェア対策エンジンはファイルを自動的にスキャンし、特別に細工されたファイルがスキャンされたときに脆弱性が悪用されます。 リアルタイム スキャンが有効になっていない場合、攻撃者は、脆弱性が悪用されるためにスケジュールされたスキャンが発生するまで待機する必要があります。

さらに、この脆弱性の悪用は、影響を受けるバージョンの悪意のあるソフトウェア削除ツール (MSRT) を使用してシステムがスキャンされるときに発生する可能性があります。

どのシステムが主に脆弱性のリスクにさらされていますか?
影響を受ける 64 ビット バージョンのマルウェア対策ソフトウェアを実行しているシステムは、主に危険にさらされます。

更新プログラムは何を行いますか?
この更新プログラムは、Microsoft マルウェア対策エンジンが特別に細工されたファイルをスキャンする方法を修正することで、この脆弱性を解決します。

このセキュリティ アドバイザリが発行されたとき、この脆弱性は公開されていましたか?
はい。 この脆弱性は、サービス拒否として公開されています。 一般的な脆弱性と露出 CVE-2013-1346 が割り当てられます。

このセキュリティ アドバイザリが発行されたとき、Microsoft はこの脆弱性が悪用されたという報告を受け取りましたか?
いいえ。 Microsoft は、このセキュリティ アドバイザリが最初に発行されたときに、この脆弱性が顧客を攻撃するために一般に使用されたことを示す情報を受け取っていませんでした。

推奨されるアクション

更新プログラムがインストールされていることを確認する

お客様は、最新バージョンの Microsoft マルウェア対策エンジンと定義の更新プログラムが、Microsoft マルウェア対策製品用にアクティブにダウンロードおよびインストールされていることを確認する必要があります。

ソフトウェアが現在使用している Microsoft マルウェア対策エンジンのバージョン番号を確認する方法の詳細については、Microsoft サポート技術情報の記事の「更新プログラムのインストールの確認」 2510781を参照してください。

影響を受けるソフトウェアの場合は、Microsoft マルウェア対策エンジンのバージョンが 1.1.9506.0 以降であることを確認します。

必要に応じて、更新プログラムをインストールします

エンタープライズマルウェア対策展開の管理は、更新プログラム管理ソフトウェアが、エンジンの更新プログラムと新しいマルウェア定義を自動的に承認して配布するように構成されていることを確認する必要があります。 また、エンタープライズ管理者は、最新バージョンの Microsoft マルウェア対策エンジンと定義の更新プログラムが、その環境でアクティブにダウンロード、承認、展開されていることを確認する必要があります。

影響を受けるソフトウェアは、エンド ユーザーに対して、この更新プログラムの自動検出と展開のための組み込みメカニズムを提供します。 これらのお客様の場合、更新プログラムは利用可能から 48 時間以内に適用されます。 正確な期間は、使用されるソフトウェア、インターネット接続、およびインフラストラクチャの構成によって異なります。 待機しないエンド ユーザーは、マルウェア対策ソフトウェアを手動で更新できます。

Microsoft マルウェア対策エンジンとマルウェア定義を手動で更新する方法の詳細については、マイクロソフト サポート技術情報の記事2510781を参照してください

その他の情報

謝辞

Microsoft は、お客様を保護するために Microsoft と協力していただきありがとうございます。

  • Microsoft マルウェア保護エンジンの脆弱性に関する Microsoft と連携するための Argyll CMS の Graeme Gill (CVE-2013-1346)

Microsoft Active Protections Program (MAPP)

お客様のセキュリティ保護を強化するために、Microsoft は、毎月のセキュリティ更新プログラムのリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供します。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に更新された保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーによって提供されるアクティブな保護 Web サイトを参照してください。

フィードバック

  • Microsoft のヘルプとサポートフォーム、カスタマー サービスのお問い合わせフォームに入力することで、 フィードバックを提供できます。

サポート

免責情報

このアドバイザリで提供される情報は、いかなる種類の保証もなく「現状のまま」提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

リビジョン

  • V1.0 (2013 年 5 月 14 日): アドバイザリが公開されました。

ビルド日: 2014-04-18T13:49:36Z-07:00