Intel Security - セキュリティ情報: 複数のマカフィー Windows 対策製品で発見された保護されたリソースへのアクセス回避の脆弱性の修正について
セキュリティ情報 ID:
SB10151
最終更新: 2016/03/22
最終更新: 2016/03/22
概要
| 脆弱性の影響: | アクセス保護機能のバイパス (CWE-592) |
| CVE 番号: | None |
| 重大度: | 低 |
| Base / Overall CVSS v3 Scores: |
3.1 / 2.9 |
| Base / Overall CVSS v2 Scores: | 3.0 / 2.6 |
| 推奨手順: | Install or update to the patch in the Remediation table |
| セキュリティ情報の修正: | None |
| 影響を受けるソフトウェア: | カテゴリ 1: VirusScan Enterprise 8.8 (VSE) カテゴリ 2: McAfee Agent 5.x (MA) Data Exchange Layer (DXL) Host Intrusion Prevention Service (Host IPS) 8.0 Data Loss Prevention Endpoint (DLPe) McAfee Device Control (MDC) Endpoint Security (ENS) 10.0 McAfee Active Response (MAR) |
| アップデートソフトウェアの入手先: | http://www.mcafee.com/jp/downloads/downloads.aspx http://www.mcafee.com/us/downloads/downloads.aspx |
記事のコンテンツ:
説明
複数のマカフィーのエンドポイント製品には、マカフィーのアプリケーション、およびそれに関連したレジストリやファイルへのアクセスなどのアクションが、信頼されているものかを確認するための自己保護メカニズムが含まれています。このメカニズムにより、複数のスキャナが実行されているときに、デッドロックや無限ループを防ぐことが可能になります。
信頼されたアプリケーションは自身を保護するルールによって保護されたファイルや設定へのアクセスが行えます。マカフィーのアプリケーションは、悪意のある攻撃者が権限なしにアンインストールをすることを防ぐため、アンインストールを許可する前に、信頼されたものであることを確認する必要があります。
攻撃者がローカルの管理者権限を取得した場合、管理パスワードを所有していない場合もこの保護メカニズムを操作される可能性があります。
攻撃者がローカルの管理者権限を取得した場合、管理パスワードを所有していない場合もこの保護メカニズムを操作される可能性があります。
VirusScan Enterprise (VSE) がデバイスにインストールされている場合、このメカニズムを使用しようとするプロセスはアクセス時にスキャンされます。プロセスがこの時に、マルウェアでないと判断された場合、プロセスはマカフィー製品によって保護されたリソースへのアクセスが可能になります。
製品は以下2つのカテゴリに分けられます。
- カテゴリ 1 製品
脆弱性を含んだ機能を有しており、自身の保護または同じデバイスにインストールされているマカフィー製品の保護のため積極的に機能を使用しています。
- カテゴリ 2 製品
脆弱性を含んだ機能は有していますが、すでに脆弱性を含んだ機能には依存せず、新しい保護機能に移行しております。完全に脆弱性を含んだ機能を無効にするためにアップデートが必要となります。
このアクセス認証の回避の脆弱性は、通常製品によって保護されたリソースへのアクセスを可能にします。このメカニズムの知識を有していれば、その攻撃が可能になります。ローカルの管理者権限でコンピューターへアクセス可能な攻撃者はこのアクセス認証回避の脆弱性を使用することで、ポリシーや製品ファイルの改ざんが可能になります。
緩和策の表に記載されている Patch または Hotfix は以下の製品に対する修正を提供します。
- カテゴリ 1 製品
- VirusScan Enterprise (VSE)
- VirusScan Enterprise (VSE)
- カテゴリ 2 製品
- Data Exchange Layer (DXL)
- Host Intrusion Prevention Service (Host IPS)
- McAfee Active Response (MAR)
- McAfee Agent (MA)
- McAfee Data Loss Prevention Endpoint (DLPe)
- McAfee Device Control (MDC)
- McAfee Endpoint Security (ENS)
CWE-592
Application Protections Bypass
http://cwe.mitre.org/data/definitions/592.html
修正
製品のダウンロードサイトから、対応する製品の Patch/Hotfix をダウンロードしてください。
| 製品 | タイプ | バージョン | ファイル名 | リリース日 |
| Data Loss Prevention and Device Control 9.4 | Hotfix | 9.4 Patch 1 HF3 DLP ePO extension: (9.4.100.15) DLPe client for Windows: (9.4.103.4) |
McAfeeDLPEndPoint94P1HF3Licensed.zip | 2016年1月12日 |
| Device Control 9.4 | Hotfix | 9.4 Patch 1 HF3 DLP ePO extension: (9.4.100.15) DLPe client for Windows: (9.4.103.4) |
McAfeeDeviceControl94P1HF3Licensed.zip | 2016年1月12日 |
| Data Loss Prevention 9.3 Patch 6 Licensed Software | Patch | 9.3 Patch 6 DLP ePO extension: (9.3.600.5) DLPe client: (9.3.600.32) |
McAfeeDLPEndPoint93P6Licensed.zip | 2016年1月14日 |
| Device Control 9.3 | Patch | 9.3 Patch 6 DLP ePO extension: (9.3.600.5) DLPe client: (9.3.600.32) |
McAfeeDeviceControl93P6Licensed.zip | 2016年1月14日 |
| DXL | Patch | 2.0.1.140.1 | DXL_2.0.1_Build_140_Package_1_(ENU-LICENSED-RELEASE-BRANCH).zip | 2015年12月16日 |
| ENS for Mac | Product | 10.1 | McAfee-Endpoint-Security-for-Mac-10.1.0-RTW-standalone-1997.dmg | 2015年12月14日 |
| ENS For Windows | Product | 10.1 | McAfee_Endpoint_Security_v10_1_0_649_61_stand_alone_client_install.zip | 2015年12月16日 |
| Host IPS | Patch | 8.0.0.3624 (Patch 7) | HIP80P7.zip | 2016年2月25日 |
| MA | Hotfix | 5.0.2.333 | MA502HF1110392WIN.zip | 2016年2月25日 |
| MAR | Hotfix | 1.1.0.161 | Mar_Client_Package_Win_1.1.0.161.zip | 2016年1月28日 |
| VSE | Patch | 8.8.0.1528 (Patch 7) | VSE880P7.zip | 2016年2月25日 |
PRODUCT_SPECIFIC_NOTES
ダウンロード、インストールの手順
Intel Security / McAfee 製品、ドキュメント、セキュリティアップデート、Patch や Hotfix のダウンロードについては KB56057 を参照してください。
ドキュメントのタブからダウンロードできるリリースノートまたはインストールガイドを参考に適用してください
推奨するインストール手順
この修正は、VSE の保護メカニズムを再設計して作成されており、複数の製品への機能的な影響があります。このアーキテクチャは MA 5.0.2.333 と VSE 8.8.0.1528 とのインストール依存性が加えられています。推奨するインストー=る手順に従って、MA 5.0.2.333 と VSE 8.8.0.1528 またはそれ以降にアップグレードしてください。
表 A: リリース順による製品更新日
以下の製品バージョンは表 B 内で記載されています。
表B: インストール手順チャート
以下のインストール手順チャートを参照してください。
Intel Security / McAfee 製品、ドキュメント、セキュリティアップデート、Patch や Hotfix のダウンロードについては KB56057 を参照してください。
ドキュメントのタブからダウンロードできるリリースノートまたはインストールガイドを参考に適用してください
推奨するインストール手順
この修正は、VSE の保護メカニズムを再設計して作成されており、複数の製品への機能的な影響があります。このアーキテクチャは MA 5.0.2.333 と VSE 8.8.0.1528 とのインストール依存性が加えられています。推奨するインストー=る手順に従って、MA 5.0.2.333 と VSE 8.8.0.1528 またはそれ以降にアップグレードしてください。
表 A: リリース順による製品更新日
以下の製品バージョンは表 B 内で記載されています。
| 製品 | バージョン | リリースビルド | パッケージ日 |
| VSE | 8.8.0 Patch 5/6 Hotfix 1087536 | 8.8.0.1478 | 2015年10月1日 |
| MA | 5.0.2 Hotfix 1091027 | 5.0.2.188 | 2015年11月18日 |
| VSE | 8.8.0 Patch 7 | 8.8.0.1528 | 2016年2月12日 |
| MA | 5.0.2 Hotfix 1110392 | 5.0.2.333 | 2016年2月25日 |
表B: インストール手順チャート
以下のインストール手順チャートを参照してください。
| シナリオ 1 | シナリオ 2 | シナリオ 3 | シナリオ 4 | シナリオ 5 | |
| 導入開始前のインストールバージョン | VSE 8.8.0.1478: No MA 5.0.2.188: No |
VSE 8.8.0.1478: Yes MA 5.0.2.188: Yes |
VSE 8.8.0.1478: No MA 5.0.2.188: Yes |
VSE: Not Installed MA: 4.x or 5.x: Yes |
VSE 8.8.0.1478: Yes MA 5.0.2.188: No MA 4.x: Yes |
| アップグレードのための推奨順 |
|
|
MA 5.0.2.333 にアップグレード | VSE 8.8.0.1528 のみをインストール MA 4.x はそのまま |
|
| 推奨順に従わない場合の影響 | 影響なし VSE 8.8.0.1528 のインストーラーは、MA 5.0.2.188 または MA 5.0.2.333 が先にンストールされているか確認します。 VSE 8.8.0.1478 のインストールを MA 5.0.2.333 のインストール後に実施するとインストールに失敗します。VSE 8.8.0.1528 をインストールしてください。. |
影響なし ただし、MA 5.0.2.333 と VSE 8.8.0.1528 をともにアップグレードする必要があります。 VSE 8.8.0.1528 のみインストールした、MA が 5.0.2.333 でない場合、以下の KB に記載されている機能への影響があります。 |
VSE のインストールをしない場合は、MA が 5.0.2.333 になっていることを確認してください。 そうでない場合、以下の KB に記載されている機能への影響があります。KB83895. |
影響なし | |
| 影響が起きた場合の推奨 | VSE 8.8.0.1528 をインストールしてください。 | MA 5.0.2.333 と VSE 8.8.0.1528 が正しくインストールされているか確認してください。 | MA 5.0.2.333 をインストールしてください。 | N/A | |
確認
Intel Security credits Maurizio Agazzini (aka inode) https://it.linkedin.com/in/maurizio-agazzini-b915243 from Mediaservice.net http://techblog.mediaservice.net/author/inode/ for reporting this flaw in VSE. He reported this issue in November 2014 and was gracious enough to allow us over a year to fix it correctly. It involved re-architecting the product's self-protection mechanisms, which functionally impacted multiple dependent products.
よくある質問(FAQ)
使用しているインテル セキュリティ製品が脆弱であるかどうかはどのように知ることができますか?
エンドポイント製品:
エンドポイントあるいはクライアントベースの製品にて下記手順を実施します:
エンドポイント製品:
エンドポイントあるいはクライアントベースの製品にて下記手順を実施します:
- Windows タスクバーのマカフィートレイアイコンを右クリックします。
- "コンソールを開く"クリックします。
- コンソール中の"アクションメニュー"クリックします。
- "アクションメニュー"から"製品の詳細"をクリックします。 製品バージョンが表示されます。
For ePO:
サーバーベースの製品にて下記手順を実施します:
- インストールされている ePO のバージョンおよび構造をチェックしてください。バージョンの確認方法についての詳細につましては KB52634 を参照してください。
- またはインストールされている製品のバージョンを確認する ePO のクエリを実行してください。
アプライアンスベースの製品:
アプライアンスベースの製品にて下記手順を実施します:
- 管理者ユーザインターフェイス (UI) を開きます。
- "バージョン情報"をクリックします。バージョン情報を表示します。
DLP ePO 拡張:
下記手順を実施します:
下記手順を実施します:
- ePO サーバーにログインします。
- ”メニュー”、”データ保護”、"DLP ポリシー" をクリックします。
- DLP コンソール内の、"Help" メニューの ”About” をクリックします。製品のバージョンが表示されます。
CVSS とは何ですか?
CVSSとは共通脆弱性評価システムの事を指し、国家インフラ諮問委員会により脆弱性の重要度を評価するための システムを標準化するために策定されました。 このシステムによって算出されたスコアにより、脆弱性がいかに重要かを 判断し、対策を計画することができます。詳細については、以下のURLにてホームページをご覧下さい。 : http://www.first.org/cvss/
CVSS v2 のスコアを計算時、Intel Security は一貫性と再現性を育成する哲学に適応させます。CVSS スコアのガイドの原則として自身で脆弱性を調査しスコア付けを行います。検討の中で、脆弱性の直接または近接した影響のみ検討します。スコアされた問題の攻撃が成功することによって生じる可能性などの潜在的な継続する脆弱性はスコアには影響させません。
CVSS v3 スコアは 2015 年 3 月の時点で最終レビュー中です。CVSS v2 は将来 CVSS v3 が承認された後に置き換わります。
https://www.first.org/cvss/v3/development
https://www.first.org/cvss/calculator/3.0
使用されるCVSSスコアリングメトリクスは何ですか?
CVSS v3 Scoring:
NOTE: The below CVSS version 3.0 vector was used to generate this score.
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:L/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:L/E:F/RL:T/RC:C
CVSS v2.0 Scoring:
NOTE: The below CVSS version 2.0 vector was used to generate this score.
https://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:L/AC:M/Au:S/C:N/I:P/A:P/E:F/RL:T/RC:C)
セキュリティ情報の検索や製品脆弱性の報告はどこからできますか?
全てのセキュリティ情報を検索または、セキュリティ情報または脆弱性について情報をお持ちの場合は、下記の製品セキュリティのサイトにアクセスしてください。 http://www.mcafee.com/jp/threat-center/product-security-bulletins.aspx
CVSSとは共通脆弱性評価システムの事を指し、国家インフラ諮問委員会により脆弱性の重要度を評価するための システムを標準化するために策定されました。 このシステムによって算出されたスコアにより、脆弱性がいかに重要かを 判断し、対策を計画することができます。詳細については、以下のURLにてホームページをご覧下さい。 : http://www.first.org/cvss/
CVSS v2 のスコアを計算時、Intel Security は一貫性と再現性を育成する哲学に適応させます。CVSS スコアのガイドの原則として自身で脆弱性を調査しスコア付けを行います。検討の中で、脆弱性の直接または近接した影響のみ検討します。スコアされた問題の攻撃が成功することによって生じる可能性などの潜在的な継続する脆弱性はスコアには影響させません。
CVSS v3 スコアは 2015 年 3 月の時点で最終レビュー中です。CVSS v2 は将来 CVSS v3 が承認された後に置き換わります。
https://www.first.org/cvss/v3/development
https://www.first.org/cvss/calculator/3.0
使用されるCVSSスコアリングメトリクスは何ですか?
CVSS v3 Scoring:
| Base Score | 3.1 |
| Attack Vector (AV) | Local (L) |
| Attack Complexity (AC) | Low (L) |
| Privileges Required (PR) | High (H) |
| User Interaction (UI) | Required (R) |
| Scope (S) | Unchanged (U) |
| Confidentiality (C) | None (N) |
| Integrity (I) | Low (L) |
| Availability (A) | Low (L) |
| Temporal Score (Overall) |
2.9 |
| Exploitability (E) | Functional (F) |
| Remediation Level (RL) | Temporary Fix (T) |
| Report Confidence (RC) | Confirmed (C) |
NOTE: The below CVSS version 3.0 vector was used to generate this score.
https://www.first.org/cvss/calculator/3.0#CVSS:3.0/AV:L/AC:L/PR:H/UI:R/S:U/C:N/I:L/A:L/E:F/RL:T/RC:C
CVSS v2.0 Scoring:
| Base Score | 3.0 |
| Related exploit range (AccessVector) | Local (L) |
| Attack complexity (AccessComplexity) | Medium (M) |
| Level of authentication needed (Authentication) | Single (S) |
| Confidentiality impact | None (N) |
| Integrity impact | Partial (P) |
| Availability impact | Partial (P) |
| Temporal Score (Overall) |
2.6 |
| Availability of exploit (Exploitability) | Functional Exploit Exists (F) |
| Type of fix available (RemediationLevel) | Temporary Fix (T) |
| Level of verification that vulnerability exists (ReportConfidence) | Confirmed (C) |
NOTE: The below CVSS version 2.0 vector was used to generate this score.
https://nvd.nist.gov/cvss.cfm?calculator&version=2&vector=(AV:L/AC:M/Au:S/C:N/I:P/A:P/E:F/RL:T/RC:C)
セキュリティ情報の検索や製品脆弱性の報告はどこからできますか?
全てのセキュリティ情報を検索または、セキュリティ情報または脆弱性について情報をお持ちの場合は、下記の製品セキュリティのサイトにアクセスしてください。 http://www.mcafee.com/jp/threat-center/product-security-bulletins.aspx
リソース
テクニカル サポートに問い合わせるには、ServicePortal にログオンし、https://support.mcafee.com/ServicePortal/faces/serviceRequests/createSR で「サービス リクエストの作成」ページにアクセスします。
- 登録済みのユーザーの場合は、ユーザ ID とパスワードを入力し、ログインをクリックします。
- 登録済みのユーザーでない場合は、Register をクリックし、必須フィールドに入力します。 パスワードとログインに関する手順を示した電子メールが送信されます。
免責事項
The information provided in this security bulletin is provided as is without warranty of any kind. Intel Security disclaims all warranties, either express or implied, including the warranties of merchantability and fitness for a particular purpose. In no event shall Intel Security or its suppliers be liable for any damages whatsoever including direct, indirect, incidental, consequential, loss of business profits, or special damages, even if Intel Security or its suppliers have been advised of the possibility of such damages. Some states do not allow the exclusion or limitation of liability for consequential or incidental damages so the foregoing limitation may not apply.
Any future product release dates mentioned in this security bulletin are intended to outline our general product direction and they should not be relied on in making a purchasing decision. The product release dates are for information purposes only, and may not be incorporated into any contract. The product release dates are not a commitment, promise, or legal obligation to deliver any material, code, or functionality. The development, release, and timing of any features or functionality described for our products remains at our sole discretion and may be changed or cancelled at any time.
Any future product release dates mentioned in this security bulletin are intended to outline our general product direction and they should not be relied on in making a purchasing decision. The product release dates are for information purposes only, and may not be incorporated into any contract. The product release dates are not a commitment, promise, or legal obligation to deliver any material, code, or functionality. The development, release, and timing of any features or functionality described for our products remains at our sole discretion and may be changed or cancelled at any time.
