Video Screencast Help
Security Response

MS12-020 に対して有効な概念実証(PoC)が公開

Created: 19 Mar 2012 10:08:14 GMT • Translations available: English
Symantec Security Response's picture
0 0 Votes
Login to vote

3 月 13 日の火曜日、リモートデスクトッププロトコル(RDP)に存在する緊急レベルの脆弱性が Microsoft から警告されました。このセキュリティホールに対処するパッチは、月例パッチリリースの一環として同じ日に公開されています(リモートデスクトッププロトコル(CVE-2012-0002)にリモートコード実行の脆弱性(BID 52353))。

RDP は TCP ポートで応答を準備するので、この脆弱性はリモートでトリガすることができ、コードが実行される可能性があります。ハッカーは悪用の開発に熱心であり、MS12-020 に対してサービス拒否状態を引き起こせる概念実証(PoC)が公開されていることを確認しました。シマンテックは、この脆弱性を悪用する試みを遮断するために、IPS シグネチャ 25610(Attack: Microsoft RDP CVE-2012-0002 3)を公開しています。

現時点で、PoC はペイロードを配信しておらず、25610 シグネチャによって検出されます。有効な悪用の開発がこれからも続くことは間違いなく、PoC の公開によってむしろ加速するでしょう。リモートコード実行の機能を持つ PoC は、現在まだ確認されていません。セキュリティレスポンスでは、注意深くこの問題の監視を続け、脅威に進展があれば対策も更新する予定です。

更新 #1 [2012 年 3 月 16 日]:

過去 24 時間の更新情報を追加します。

  1. このほかの PoC も各サイトで公開されているという報告が多数寄せられています。たとえば、ある PoC は Sabu によって開発されたというコメントも投稿されています。最近、司法当局に協力したと中傷されているアノニマスの元メンバーの名前にあやかろうとしたのかもしれません。
     
  2. リモートコードを実行する本体の実行可能ファイルを示したものというスクリーンショットも紹介されていますが、これは本物の悪用サンプルではない可能性もあります。このスクリーンショットを別とすれば、リモートコード実行はまだ確認されていません。

     


     

  3. この脆弱性を発見した研究者である Luigi Auriemma 氏は、自身の PoC に関して昨年、独自のアドバイザリを公開しています。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。