マイクロソフト セキュリティ アドバイザリ 2974294

Microsoft Malware Protection Engine の脆弱性により、サービス拒否が起こる

公開日:2014 年 6 月 18 日

バージョン: 1.0

概説

概要

マイクロソフトは、Microsoft Malware Protection Engine 用の更新プログラムがマイクロソフトに報告されたセキュリティの脆弱性を解決することをお客様にお知らせするために、このセキュリティ アドバイザリを公開しました。この脆弱性により、Microsoft Malware Protection Engine が特別に細工されたファイルをスキャンした場合にサービス拒否が起こる可能性があります。攻撃者がこの脆弱性を悪用した場合、特別に細工されたファイルを手動で削除してサービスを再開しない限り、Microsoft Malware Protection Engine では影響を受けるシステムを監視できなくなります。

Microsoft Malware Protection Engine は、マイクロソフトのいくつかのマルウェア対策製品に同梱されています。影響を受ける製品の一覧については、「影響を受けるソフトウェア」を参照してください。**** Microsoft Malware Protection Engine の更新プログラムは、影響を受ける製品向けの更新されたマルウェア定義と共にインストールされます。企業のインストールの管理者は既存の社内プロセスに従い、定義およびエンジンの更新プログラムが更新プログラム管理ソフトウェアで承認され、それに応じてクライアントがその更新プログラムを適用することを確認してください。

通常、この更新プログラムの自動検出および展開のビルトイン メカニズムでは、この更新プログラムがリリース後 48 時間以内に適用されるため、企業の管理者またはエンド ユーザーは、Microsoft Malware Protection Engine 用の更新プログラムをインストールするために対応を行う必要はありません。正確な時間枠は、ご使用中のソフトウェア、インターネット接続およびインフラストラクチャの構成により異なります。

アドバイザリの詳細

問題に関する参照情報

この問題に関する詳細情報は、次の参照情報をご確認ください。

参照情報 ID
CVE 参照情報 CVE-2014-2779
この脆弱性の影響を受ける Microsoft Malware Protection Engine の最新バージョン バージョン 1.1.10600.0
脆弱性が解決されている Microsoft Malware Protection Engine の最初のバージョン バージョン 1.1.10701.0*
\*Microsoft Malware Protection Engine のバージョンがこのバージョンと等しいか、それ以降の場合は、この脆弱性の影響を受けないため、それ以上の措置を取る必要はありません。ソフトウェアが現在使用しているエンジンのバージョン番号を確認する方法の詳細については、[サポート技術情報 2510781](https://support.microsoft.com/kb/2510781/ja) の「更新プログラムのインストールの確認」を参照してください。 影響を受けるソフトウェア ------------------------ このアドバイザリは次のソフトウェアについて説明しています。 **影響を受けるソフトウェア**

**影響を受けるソフトウェアごとの脆弱性の深刻度および最大のセキュリティ上の影響**
**マルウェア対策ソフトウェア** **Microsoft Malware Protection Engine のサービス拒否の脆弱性 - CVE-2014-2779**
Microsoft Forefront Client Security **重要** サービス拒否
Microsoft Forefront Endpoint Protection 2010 **重要** サービス拒否
Microsoft Forefront Security for SharePoint Service Pack 3 **重要** サービス拒否
Microsoft System Center 2012 Endpoint Protection **重要** サービス拒否
Microsoft System Center 2012 Endpoint Protection Service Pack 1 **重要** サービス拒否
Microsoft 悪意のあるソフトウェアの削除ツール[1] **重要** サービス拒否
Microsoft Security Essentials **重要** サービス拒否
Microsoft Security Essentials Prerelease **重要** サービス拒否
Windows 8、Windows 8.1、Windows Server 2012、および Windows Server 2012 R2 用の Windows Defender **重要** サービス拒否
Windows RT および Windows RT 8.1 用の Windows Defender **重要** サービス拒否
Windows Defender for Windows XP、Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、および Windows Server 2008 R2 **重要** サービス拒否
Windows Defender オフライン **重要** サービス拒否
Windows Intune Endpoint Protection **重要** サービス拒否
[1]2014 年 5 月またはそれ以前のバージョンの Microsoft 悪意のあるソフトウェアの削除ツールのみが該当します。

影響を受けないソフトウェア

マルウェア対策ソフトウェア
Malware Protection Engine を実行しない
Microsoft Forefront Server Security Management Console
Microsoft Internet Security and Acceleration (ISA) Server
Exploitability Index (悪用可能性指標) ------------------------------------- 次の表に、このアドバイザリで解決した脆弱性のExploitability (悪用可能性) の評価を記載します。 **この表はどのように使用しますか?** この表は、このアドバイザリの公開後 30 日以内に機能する悪用コードが公開される可能性について知るために使用します。適用の優先順位を決定するために、お客様の特定の構成に従って、下記の評価を検討してください。これらの評価の意味の詳細については、[Microsoft Exploitability Index (悪用可能性指標)](https://technet.microsoft.com/ja-jp/security/cc998259) を参照してください。

脆弱性のタイトル CVE の識別番号 最新のソフトウェアのリリースに関する Exploitability (悪用可能性) の評価 旧バージョンのソフトウェアのリリースに関する Exploitability (悪用可能性) の評価 サービス拒否の悪用可能性の評価 注意事項
Microsoft Malware Protection Engine のサービス拒否の脆弱性 CVE-2014-2779 3 - 悪用コードの可能性低 3 - 悪用コードの可能性低 永続的 これは、サービス拒否の脆弱性です。

この脆弱性が悪用されると、オペレーティング システムやアプリケーションが、手動で再起動するまで完全に応答しなくなる可能性があります。また、アプリケーションが予期せずに閉じるか終了し、自動的に回復しない可能性もあります。

アドバイザリの「よく寄せられる質問」

マイクロソフトはこの脆弱性を解決するためにセキュリティ情報を公開しますか?
いいえ。マイクロソフトは、Microsoft Malware Protection Engine 用の更新プログラムがマイクロソフトに報告されたセキュリティの脆弱性を解決することをお客様にお知らせするために、この情報セキュリティ アドバイザリを公開しました。

通常、企業の管理者またはエンド ユーザーがこの更新プログラムをインストールするために措置を取る必要はありません。

なぜ、通常この更新プログラムをインストールするために何もする必要がないのですか?
絶え間なく変化している脅威のランドスケープに対応するため、マイクロソフトはマルウェアの定義および Microsoft Malware Protection Engine を頻繁に更新します。新たな脅威および蔓延している脅威を効果的に防御するために、このような更新プログラムにより、適時に対策ソフトウェアを最新にする必要があります。

エンド ユーザーと同様に、企業の展開では、マイクロソフトのマルウェア対策ソフトウェアの既定の構成が、マルウェア定義とMalware Protection Engine を自動的に最新に保つために役立ちます。製品ドキュメントも、製品を自動更新に構成するように推奨しています。

最善策として、Microsoft Malware Protection Engines の更新プログラムおよびマルウェアの定義の自動適用などのソフトウェアの配布が、お客様の環境で予定通りに機能しているかどうかを定期的に確認することを推奨します。

どのくらいの頻度で Microsoft Malware Protection Engine およびマルウェアの定義を更新しますか?
マイクロソフトは通常、毎月 1 回または新しい脅威に対する保護の必要性に応じて、Malware Protection Engine 用の更新プログラムを公開します。マイクロソフトは一般的にマルウェアの定義を毎日 3 回更新し、必要であればその頻度を高くします。

使用しているマイクロソフトのマルウェア対策ソフトウェアやその構成方法により、ソフトウェアはインターネット接続時に毎日、時には日に数度も、エンジンおよび定義の更新を検索する場合があります。お客様は、更新プログラムをいつでも手動で確認するように選択することもできます。

この更新プログラムはどのようにインストールできますか?
この更新プログラムのインストール方法については、「推奨するアクション」を参照してください。

Microsoft Malware Protection Engine とは何ですか?
Microsoft Malware Protection Engine、mpengine.dll はマイクロソフトのウイルス対策およびスパイウェア対策ソフトウェアにスキャン、検出、クリーニング機能を提供します。

マイクロソフトのマルウェア対策技術に関する詳細情報はどこで入手できますか?
詳細については、Microsoft Malware Protection Center の Web サイト (英語情報) を参照してください。

Microsoft Malware Protection Engine のサービス拒否の脆弱性 - CVE-2014-2779 に関するよく寄せられる質問

この脆弱性により、どのようなことが起こる可能性がありますか?
これは、サービス拒否の脆弱性です。

何が原因で起こりますか?
この脆弱性は、Microsoft Malware Protection Engine が特別に細工されたファイルを適切にスキャンせず、スキャンがタイムアウトになったときに発生します。

攻撃者は、この脆弱性を悪用して何を行う可能性がありますか?
攻撃者がこの脆弱性を悪用した場合、特別に細工されたファイルを手動で削除してサービスを再開しない限り、Microsoft Malware Protection Engine では影響を受けるシステムを監視できなくなります。

攻撃者はこの脆弱性をどのように悪用する可能性がありますか?
この脆弱性を悪用するには、影響を受けるバージョンの Microsoft Malware Protection Engine で、特別に細工されたファイルをスキャンする必要があります。攻撃者が、Microsoft Malware Protection Engine によってスキャンされる場所に特別に細工されたファイルを置く方法は数多く存在します。たとえば、攻撃者が、Web サイトを使用し、ユーザーが Web サイトを表示したときにスキャンされる被害者のシステムに特別に細工されたファイルを送信する可能性があります。攻撃者は、ファイルが開かれたときにスキャンされる電子メールまたはインスタント メッセーンジャーのメッセージを使用して特別に細工されたファイルを送信する可能性があります。さらに、ユーザーが提供するコンテンツを受け入れるかホストする Web サイトを攻撃者が利用して、ホスト サーバー上で実行される Malware Protection Engine によってスキャンされる共有の場所に特別に細工されたファイルをアップロードする可能性があります。

影響を受けるマルウェア対策ソフトウェアでリアルタイムの保護が有効になっている場合、Microsoft Malware Protection Engine によってファイルが自動的にスキャンされます。その際に、特別に細工されたファイルがスキャンされると、脆弱性が悪用される結果となります。リアルタイム スキャンが有効になっていない場合、攻撃者が脆弱性を悪用するには、定期的なスキャンが実行されるまで待つ必要があります。

さらに、この脆弱性の悪用は、影響を受けるバージョンの悪意のあるソフトウェアの削除ツール (MSRT) を使用してシステムがスキャンされた場合に起こる可能性があります。

主にどのようなコンピューターがこの脆弱性による危険にさらされますか?
影響を受けるバージョンのマルウェア対策ソフトウェアを実行しているすべてのシステムが、主に危険にさらされます。

この更新プログラムは何を修正しますか?
この更新プログラムは、Microsoft Malware Protection Engine が特別に細工されたファイルをスキャンする方法を修正することにより、この脆弱性を解決します。

このセキュリティ アドバイザリの公開時に、この脆弱性は一般に知られていましたか?
いいえ。マイクロソフトは、協調的な脆弱性の公開を通じてこの脆弱性に関する情報を得ました。

このセキュリティ アドバイザリの公開時に、マイクロソフトはこの脆弱性が悪用されたという報告を受けていましたか?
いいえ。マイクロソフトは、このセキュリティ アドバイザリが最初に公開された際に、この脆弱性が一般で悪用され、お客様が攻撃されていたことを示す情報を受けていませんでした。

推奨するアクション

  • 更新プログラムがインストールされていることを確認する

    お客様は、最新バージョンの Microsoft Malware Protection Engine および定義の更新プログラムが、各マイクロソフトのマルウェア対策製品に積極的にダウンロードおよびインストールされていることを確認する必要があります。

    ソフトウェアが現在使用している Microsoft Malware Protection Engine のバージョン番号を確認する方法の詳細については、サポート技術情報 2510781 の「更新プログラムが正しくインストールされたかどうか確認する方法」を参照してください。

    ソフトウェアが脆弱性の影響を受けるかどうかについては、Microsoft Malware Protection Engine のバージョンが 1.1.10701.0 以降であるかを確認してください。

  • 必要な場合は、更新プログラムをインストールする

    マルウェア対策を展開する企業の管理者は、それぞれの更新管理ソフトウェアが、エンジンの更新プログラムおよび新しいマルウェアの定義を自動で承認および配布するように、正しく構成してください。企業の管理者は最新の Microsoft Malware Protection Engine および定義の更新プログラムが各環境で積極的にダウンロード、承認および展開されていることも確認してください。

    エンド ユーザーについては、影響を受けるソフトウェアが、この更新プログラムの自動検出および適用のためのビルトイン メカニズムを提供します。これらのお客様には、この更新プログラムが 48 時間以内に適用され、利用可能になります。正確な時間枠は、ご使用中のソフトウェア、インターネット接続およびインフラストラクチャの構成により異なります。お急ぎのエンド ユーザーの方は、マルウェア対策ソフトウェアを手動で更新できます。

    Microsoft Malware Protection Engine とマルウェア定義を手動で更新する方法の詳細については、サポート技術情報 2510781 を参照してください。

謝辞

この問題を連絡し、顧客の保護に協力してくださった下記の方に対し、マイクロソフトは深い謝意を表します。

  • Microsoft Malware Protection Engine のサービス拒否の脆弱性 (CVE-2014-2779) についてマイクロソフトに協力してくださった Google Project Zero の Tavis Ormandy 氏

関連情報

Microsoft Active Protections Program (MAPP)

お客様のセキュリティ保護をより向上させるために、マイクロソフトは、月例のセキュリティ更新プログラムの公開に先立ち、脆弱性情報を主要なセキュリティ ソフトウェア プロバイダーに提供しています。セキュリティ ソフトウェア プロバイダーは、この脆弱性の情報を使用し、ウイルス対策、ネットワーク ベースの侵入検出システムまたはホスト ベースの侵入防止システムを介して、お客様に最新の保護環境を提供します。このような保護環境を提供するセキュリティ ソフトウェア ベンダーの情報については、Microsoft Active Protections Program (MAPP) パートナーに記載されている各社の Web サイトを参照してください。

フィードバック

サポート

  • セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。詳細については、Microsoft サポートを参照してください。
  • その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。詳細については、Microsoft サポートを参照してください。
  • Microsoft TechNet セキュリティ センターでは、マイクロソフト製品に関するセキュリティ情報を提供しています。

免責

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

  • V1.0 (2014/06/18):アドバイザリを公開しました。

Page generated 2014-06-17 12:01Z-07:00.