MicrosoftのMS12-020情報が公開されて以来、Remote Desktop Protocol(RDP)の脆弱性を悪用しようとする試みが数多くあった。先週、我々は関連サンプルを受けとったが、これは標的としたRDPサービスを停止させることを目的とした「RDPKill by: Mark DePalma」というツールであることが判明した。

RDPKill

  同ツールはVisual Basic 6.0で書かれており、シンプルなユーザインタフェースを有している。我々はWindows XP 32-bitおよびWindows 7 64-bitが動作するマシンでテストした。

RDPKill

  Windows XP 32-bitのマシンもWindows 7 64-bitのマシンも、どちらもサービス妨害(DoS)攻撃の影響を受けた。サービスはクラッシュし、死のブルースクリーン(BSoD)状態(Windowsがクラッシュした時に見られるエラースクリーン)を引き起こした。

RDPKill BSoD

  我々はこのツールを「Hack-Tool:W32/RDPKill.A」(SHA-1: 1d131a5f17d86c712988a2d146dc73367f5e5917)として検出している。

  「RDPKill.A」の他に、似たようなツールとMetasploitモジュールをオンラインで見つけることもできる。これらが入手可能であるということは、パッチを当てていないRDPサーバは、これらのツールを試みているかもしれない攻撃者により、容易にDoS攻撃の標的とされる可能性がある。

  システムにパッチを当てていない方、特にマシンでRDPサービスを実行している方には、できるだけ早くパッチを当てるよう強く助言する。

Threat Solutions post by — Azlan and Yeh