Endpoint Protection

3 月 13 日の火曜日、リモートデスクトッププロトコル（RDP）に存在する緊急レベルの脆弱性が Microsoft から警告されました。このセキュリティホールに対処するパッチは、月例パッチリリースの一環として同じ日に公開されています（リモートデスクトッププロトコル（CVE-2012-0002）にリモートコード実行の脆弱性（BID 52353））。

RDP は TCP ポートで応答を準備するので、この脆弱性はリモートでトリガすることができ、コードが実行される可能性があります。ハッカーは悪用の開発に熱心であり、MS12-020 に対してサービス拒否状態を引き起こせる概念実証（PoC）が公開されていることを確認しました。シマンテックは、この脆弱性を悪用する試みを遮断するために、IPS シグネチャ 25610（Attack: Microsoft RDP CVE-2012-0002 3）を公開しています。

現時点で、PoC はペイロードを配信しておらず、25610 シグネチャによって検出されます。有効な悪用の開発がこれからも続くことは間違いなく、PoC の公開によってむしろ加速するでしょう。リモートコード実行の機能を持つ PoC は、現在まだ確認されていません。セキュリティレスポンスでは、注意深くこの問題の監視を続け、脅威に進展があれば対策も更新する予定です。

更新 #1 [2012 年 3 月 16 日]:

過去 24 時間の更新情報を追加します。

1. このほかの PoC も各サイトで公開されているという報告が多数寄せられています。たとえば、ある PoC は Sabu によって開発されたというコメントも投稿されています。最近、司法当局に協力したと中傷されているアノニマスの元メンバーの名前にあやかろうとしたのかもしれません。
    
2. リモートコードを実行する本体の実行可能ファイルを示したものというスクリーンショットも紹介されていますが、これは本物の悪用サンプルではない可能性もあります。このスクリーンショットを別とすれば、リモートコード実行はまだ確認されていません。

    

   
    
3. この脆弱性を発見した研究者である Luigi Auriemma 氏は、自身の PoC に関して昨年、独自のアドバイザリを公開しています。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。