Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

RDP脆弱性攻撃で複数の実証コードが存在か - 3389番ポートをスキャンするIPも増加

マイクロソフトが3月のセキュリティ更新プログラムで修正した「CVE-2012-0002」の実証コードが公開された問題で、セキュリティベンダーが関連情報を伝えている。

日本IBMの東京SOCでは、3月19日正午の時点で同社国内外のセキュリティーオペレーションセンターにて同脆弱性に対する攻撃を確認していないが、同脆弱性と関連するTCP3389番ポートへのアクセス状況に変化が見られたという。

同社報告によれば、TCP3389番ポートに対するスキャン件数に大きな変化はないが、スキャンを実施するIPアドレス数がセキュリティ更新プログラム公開直後より急増。4000件前後だったものが約7500件へ上昇している。

実証コードが公開されたこととの因果関係はわかっていないが、同社では、脆弱性攻撃の準備である可能性もあるとして注意を呼びかけている。

一方シマンテックは、マイクロソフトが確認した実証コードとは別の実証コードが公開されているとの報告を複数受けたという。

なかにはDoSだけでなく、リモートでコード実行できる実証コードのスクリーンショットも含まれるが、同社では真偽について疑問を呈している。現時点でこれ以外にリモートでコードを実行できるプログラムの情報は入っていない。

また今回の脆弱性に関する情報は、「Microsoft Active Protections Program(MAPP)」を通じてセキュリティベンダーに提供されており、対応状況のアナウンスも行われている。

シマンテックが、IPSシグネチャに定義を追加しているほか、トレンドマイクロについても、「Trend Micro Deep Security」や「Trend Micro脆弱性対策オプション」向けの最新フィルタに定義を追加したことなどを明らかにしている。

(Security NEXT - 2012/03/19 ) このエントリーをはてなブックマークに追加

PR

関連記事

3月に公開されたRDPの脆弱性に対する攻撃は限定的 - 不審パケットには引き続き注意を
中国からTCP3389番ポートに対するパケットが一時増加 - RDP脆弱性攻撃の準備か
MS月例パッチ公開から2日でDoS実証コードが発生 - 回避策用の「Fix It」も
MS、月例セキュリティパッチ6件を公開 - 「攻撃者に魅力的な脆弱性」を修正