B
今週中
Windows Defender (MsMpEng.exe) において、クリーンアップルーチンとボリュームシャドウコピー作成の間にレースコンディションが存在する…
📌 一言でいうと
Windows Defender (MsMpEng.exe) において、クリーンアップルーチンとボリュームシャドウコピー作成の間にレースコンディションが存在することが判明しました。この脆弱性を悪用されると、攻撃者は NT AUTHORITY\SYSTEM 権限への特権昇格 (LPE) が可能です。また、Windows Defender がクラッシュし、セッション中のアンチウイルス保護が無効化されるリスクがあります。
🔍該当判定
- Windows OSを搭載したPCやサーバーを利用している
- ウイルス対策ソフトとして『Windows Defender』を利用している
- 不特定多数のユーザーにPCのログイン権限を与えている、または外部からプログラムを実行される可能性がある
上記いずれにも該当しない → 静観でOK
✅該当時の対応
Microsoft からの公式パッチが提供されるまで、不審な ISO ファイルのマウントを避け、特権昇格の兆候(不審なプロセスの起動など)を監視してください。最新の Windows Update を適用し、常に最新の状態を維持してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Windows Defender (MsMpEng.exe) 特権昇格の脆弱性について
お疲れさまです。Windows Defender における深刻な脆弱性の情報共有です。
■ 概要
Windows Defender のクリーンアップルーチンとボリュームシャドウコピー作成の間のレースコンディションを悪用し、NT AUTHORITY\SYSTEM 権限への特権昇格 (LPE) が可能な脆弱性が報告されました。また、エクスプロイトにより MsMpEng.exe がクラッシュし、アンチウイルス機能が停止する可能性があります。
■ 影響範囲
- 対象製品: Windows Defender Antivirus (MsMpEng.exe)
■ 対応手順
1. Microsoft からの公式セキュリティ更新プログラムの提供状況を確認し、速やかに適用してください。
2. EDR 等を用いて、不審な特権昇格プロセスや MsMpEng.exe の異常停止が発生していないか監視を強化してください。
■ 参考情報
- https://gitlab.com/nu11secur1ty/0/-/raw/main/README.md?ref_type=heads
対応優先度: 高
対応期限: パッチ提供後速やかに
お疲れさまです。Windows Defender における深刻な脆弱性の情報共有です。
■ 概要
Windows Defender のクリーンアップルーチンとボリュームシャドウコピー作成の間のレースコンディションを悪用し、NT AUTHORITY\SYSTEM 権限への特権昇格 (LPE) が可能な脆弱性が報告されました。また、エクスプロイトにより MsMpEng.exe がクラッシュし、アンチウイルス機能が停止する可能性があります。
■ 影響範囲
- 対象製品: Windows Defender Antivirus (MsMpEng.exe)
■ 対応手順
1. Microsoft からの公式セキュリティ更新プログラムの提供状況を確認し、速やかに適用してください。
2. EDR 等を用いて、不審な特権昇格プロセスや MsMpEng.exe の異常停止が発生していないか監視を強化してください。
■ 参考情報
- https://gitlab.com/nu11secur1ty/0/-/raw/main/README.md?ref_type=heads
対応優先度: 高
対応期限: パッチ提供後速やかに
Subject: [Technical Alert] Local Privilege Escalation in Windows Defender (MsMpEng.exe)
Dear Team,
We are sharing information regarding a critical vulnerability in Windows Defender.
■ Overview
A race condition exists between the `MpCleanCallbackFunction` and Volume Shadow Copy creation in Windows Defender. Exploitation leads to Local Privilege Escalation (LPE) to NT AUTHORITY\SYSTEM and can cause the `MsMpEng.exe` process to crash, disabling antivirus protection for the session.
■ Scope
- Affected Product: Windows Defender Antivirus (MsMpEng.exe)
■ Action Plan
1. Monitor for official security updates from Microsoft and apply them immediately upon release.
2. Enhance monitoring via EDR for unusual privilege escalation patterns or unexpected crashes of the MsMpEng.exe process.
■ Reference
- https://gitlab.com/nu11secur1ty/0/-/raw/main/README.md?ref_type=heads
Priority: High
Deadline: Immediate upon patch availability
Dear Team,
We are sharing information regarding a critical vulnerability in Windows Defender.
■ Overview
A race condition exists between the `MpCleanCallbackFunction` and Volume Shadow Copy creation in Windows Defender. Exploitation leads to Local Privilege Escalation (LPE) to NT AUTHORITY\SYSTEM and can cause the `MsMpEng.exe` process to crash, disabling antivirus protection for the session.
■ Scope
- Affected Product: Windows Defender Antivirus (MsMpEng.exe)
■ Action Plan
1. Monitor for official security updates from Microsoft and apply them immediately upon release.
2. Enhance monitoring via EDR for unusual privilege escalation patterns or unexpected crashes of the MsMpEng.exe process.
■ Reference
- https://gitlab.com/nu11secur1ty/0/-/raw/main/README.md?ref_type=heads
Priority: High
Deadline: Immediate upon patch availability