マイクロソフトが14日のセキュリティ更新プログラムで修正したばかりの、リモートデスクトッププロトコル(RDP)の脆弱性を実証するコードが、16日未明にインターネット上で公開された。脆弱性情報を共有していた、MAPP(Microsoft Active Protections Program)のパートナーから、詳細情報が流出した可能性がある。
問題の脆弱性は、細工されたRDPパケットを受け取ると不正なメモリアクセスが発生し、コード実行の可能性があるというもの。ただし、RDPは標準では無効化されており、HomeエディションのWindowsにはリモートデスクトップのサーバー機能はないので、一般ユーザーへの影響は、ほとんどない。
この脆弱性は、研究者のLuigi Auriemma氏が発見し、ZDI(Zero Day Initiative)経由で同社に非公開で報告された。16日に公開されたコードは、細工したパケットを送ってシステムクラッシュを引き起こすもの。その後も、この脆弱性を突く複数のコードがインターネット上で公開されたが、今のところはまだ、コード実行を実現する攻撃コードは見つかっていない。
16日に公開されたコードには、氏が提出したものとそっくりな細工パケットが含まれていた。氏は、詳細な脆弱性情報は当面公開しない予定でいたが、同日、自身の手によるアドバイザリを公開し、経緯を述べている。
マイクロソフトは、16日付(日本時間17日)のブログで、詳細について調査しており、パートナーと共有する秘密情報の保護が保証されるように必要な処置を講ずると述べている。
(2012/03/21 ネットセキュリティニュース)
【関連URL】
・Details about the ms12-020 proof-of-concept leak[英文](Luigi Auriemma)
http://aluigi.org/adv/ms12-020_leak.txt
・Proof-of-Concept Code available for MS12-020[英文](MSRC Blog)
http://blogs.technet.com/b/msrc/archive/2012/03/16/proof-of-concept-code-available-for-ms12-020.aspx
・MS12-020 - 緊急リモート デスクトップの脆弱性により、リモートでコードが実行される (2671387)(マイクロソフト)
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-020
・MS12-020 「リモート デスクトップ プロトコルの脆弱性」の Q&A(日本のセキュリティチーム)
http://blogs.technet.com/b/jpsecurity/archive/2012/03/16/3487092.aspx
・MS12-020 を突く PoC を確認(Trend Micro Security Blog)
http://blog.trendmicro.co.jp/archives/4906
・MS12-020 に対して有効な概念実証(PoC)が公開(Symantec)
http://www.symantec.com/connect/ja/blogs/ms12-020-poc
・リモートデスクトッププロトコル(RDP)の脆弱性(MS12-020)への攻撃の検知状況(IBM Tokyo SOC)
https://www-304.ibm.com/connections/blogs/tokyo-soc/entry/rdp_exploit_20120319?lang=ja