Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

3月に公開されたRDPの脆弱性に対する攻撃は限定的 - 不審パケットには引き続き注意を

3月の公表後より、Windowsにおいてリモートデスクトップの脆弱性に対する攻撃が懸念されていたが、約1カ月経過した現時点の攻撃は限定的で、被害拡大につながる悪用コードなどは確認されていない。

一方、RDPが利用するTCP3389ポートを狙い、不審なパケットを送信するホストが多数観測されており、引き続き警戒する必要がありそうだ。

問題とされる「CVE-2012-0002」は、3月の月例セキュリティ更新プログラム「MS12-020」で修正された脆弱性。悪用された場合、リモートでコードを実行されるおそれがある。

日本マイクロソフトでは、セキュリティ更新プログラムの深刻度を「緊急」、悪用可能性指標を3段階中もっとも高い「1」にレーティングし、更新プログラムの早期適用を呼びかけていた。

更新パッチ公開から数日で、DoS攻撃を可能とする実証コードが公開され、セキュリティベンダーでは警戒を強めたが、その後コード実行をともなう悪用は確認されていない。また同社によれば、更新プログラムのインストールは順調に推移しているという。

一方で、脆弱性との直接的な因果関係は不明だが、TCP3389番ポートに対する不正アクセスは、引き続き多数観測されている。

直近1週間に情報通信研究機構(NICT)が観測した不審パケットの状況を見ると、同ポートに対するパケット数は全体の1割前後だが、不審パケットを送信したホスト数を見ると、約4割から6割弱を占めた。

こうした不審パケットは、攻撃の事前調査である可能性もあり、セキュリティ更新プログラムの適用状況や、ファイアウォールの設定など再度確認し、引き続き警戒する必要がありそうだ。

(Security NEXT - 2012/04/17 ) このエントリーをはてなブックマークに追加

PR

関連記事

中国からTCP3389番ポートに対するパケットが一時増加 - RDP脆弱性攻撃の準備か
MS月例パッチ公開から2日でDoS実証コードが発生 - 回避策用の「Fix It」も
MS、月例セキュリティパッチ6件を公開 - 「攻撃者に魅力的な脆弱性」を修正