Trusted Design

解説:

1. 脆弱性の概要

Microsoft Defender の中核コンポーネントである Microsoft Malware Protection Engine（mpengine.dll）に存在する特権昇格（Elevation of Privilege）脆弱性。攻撃者は ローカルの低権限ユーザー権限 から、不適切なリンク解決（CWE‑59: Link Following） を悪用して SYSTEM 権限を取得できる。 Microsoft は 悪用を確認済み（Exploited: Yes） と公表。CISA KEV に登録されており、実際の攻撃が発生している事実がある。

1.1 影響

• SYSTEM 権限の奪取が可能
• ローカル権限の低いユーザーから権限昇格が可能
• Defender エンジンのファイルアクセス処理を悪用
• 攻撃チェーンの踏み台として利用される可能性が高い（PR:L / UI:N / AC:L）

1.2 深刻度

• CVSS v3.1：7.8（High）
  • Vector: AV:L / AC:L / PR:L / UI:N / S:U / C:H / I:H / A:H （Microsoft CNA 評価）
• 悪用確認済み（Exploited）
• CISA KEV 登録済み（ゼロデイ扱い）

2. 対象となる環境

2.1 影響を受ける製品バージョン

NVD による影響範囲：

• Microsoft Malware Protection Engine
  • 1.1.26030.3008 以上 1.1.26040.8 未満が影響
  • Microsoft Defender を利用する Windows 環境は、このエンジンを共有しているため 広範囲に影響する。

2.2 影響を受ける設定

• ローカルユーザーがファイル操作可能な環境
• Defender が有効化されている Windows システム
• 特定の設定条件は Microsoft からは提示されていない

3. 影響を受けた時の兆候（IoC）

公開情報では 具体的な IoC は提示されていない。 事実として：

• Microsoft は悪用を確認済み（ゼロデイ）
• CISA KEV に登録されている（攻撃が観測されている）

※攻撃ログ例・イベント ID などは公開されていない

4. 推奨対策

4.1 本対策（恒久対策）

• Microsoft Malware Protection Engine を 1.1.26040.8 以降へ更新
  

→ Microsoft が提供する修正版エンジンで脆弱性が修正済み

• Windows Update / Defender プラットフォーム更新で自動的に適用される

4.2 暫定回避策（緩和策）

Microsoft / NVD は ワークアラウンドを提供していない。

OpenCVE が推奨する運用上の緩和策：

• Defender を 最小権限で動作させる構成を維持
• 不要なローカルユーザー権限を削減
• 異常なファイルアクセスを監視

5. その他補足

• 攻撃は ローカル攻撃ベクター（AV:L）
• PR:L / UI:N / AC:L のため、攻撃チェーンに組み込まれやすい
• SYSTEM 権限奪取により 完全な端末支配が可能