パッチ適用、もしくはRDP無効化やTCP 3389ポートのブロックを

MS12-020の脆弱性を突く実証コード公開、注意を呼び掛け

2012/03/19

 米マイクロソフトは3月16日、月例セキュリティアップデートで修正した脆弱性「MS12-020」を付くコンセプト実証コード(PoC)が公開されたことをブログで明らかにし、ユーザーに注意を呼び掛けた。

 MS12-020は、Windowsのリモートデスクトッププロトコル(RDP)に関連する脆弱性だ。マイクロソフトは、3月14日の月例セキュリティアップデートでパッチを提供した際、この脆弱性を最も危険性の高い「緊急」のものと評価。30日以内に自己増殖型ワームなどの攻撃コードが作成される可能性が高いと予想していた。

 今回公表されたPoCは、細工を施したパケットによってDoS状態を引き起こすもので、リモートからのコード実行にはつながらない。しかし米SANS ISCは、PoC公開により、RDPの脆弱性を悪用しようとする動きが加速する可能性があると指摘。「対策するために残された時間はほとんどない」とし、早期のパッチ適用、もしくは不要なRDPサービスのブロックといった対策を取るよう呼び掛けている。

 脆弱性の影響を受けるのは、サポート対象の全Windowsプラットフォーム。根本的な対策はMS12-020のパッチを適用することだ。だが、検証の時間が取れないといった理由でそれが困難な場合は、

  • リモートデスクトップ/ターミナルサービスを無効にする
  • RDPが利用するTCP 3389ポートをファイアウォールでブロックする
  • インターネット経由でリモートアクセスするためにTCP 3389ポートを空けておく必要がある場合は、ネットワーク レベル認証(NLA)を有効にする

といった回避策を推奨している。マイクロソフトは、NLAをワンクリックで有効にするためのツール「Fix It」も公開している。

(@IT 高橋睦美)

情報をお寄せください:



Security&Trust フォーラム 新着記事
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH