「Microsoft Teams」のインストーラーに脆弱性、任意のコードが実行されてしまう恐れ

脆弱性レポート（JVN#79543573）

　脆弱性ポータルサイト“JVN”は2月28日、グループチャット・コラボレーションツール「Microsoft Teams」のインストーラーに脆弱性が存在することを明らかにした。DLLを読み込む際の検索パスに問題があり、同一フォルダーに存在するDLLを意図せず読み込んでしまう問題（CWE-427）があるという。

　本脆弱性が悪用されると、最悪の場合インストーラーを実行している権限で任意のコードが実行されてしまう恐れがある。脆弱性の深刻度は、“CVSS v3”で基本値“7.8”、“CVSS v2”で基本値“6.8”。

　しかし、悪用するのに必要とされるソーシャルエンジニアリング（ハッキング以外のより直接的な手法で攻撃に必要な情報を盗み出す行為）の量、および本件が本質的には仕様に基づく動作である点から、Microsoftはセキュリティ更新プログラムによる対応を今のところ予定していない。“JVN”は脆弱性の影響を軽減するために、以下の回避策の実施を推奨している。

• インストーラーを新規フォルダーに保存し、他の無関係なファイルが存在しない状態で実行する
• インストーラーを保存したフォルダーに信用できないファイルが存在しないことを確認する
• 社内でインストーラーを共有フォルダーに置き、各PCから実行させるような運用を行っている場合は、当該フォルダーを読み取り専用にする