2012 年 6 月 15 日

Microsoft は、Windows オペレーティングシステムの全対応バージョンに影響するリモートデスクトッププロトコル (RDP) の脆弱性を発表しました (CVE-2012-0173)。RDP では、ユーザーがリモートの Windows デスクトップをローカルに表示する方法で Windows システムを管理することができます。この脆弱性は、攻撃者が Windows ベースのシステムにリモートでアクセスしたり、RDP へのアクセスを拒否したりすることを可能にする場合があります。注意: この脆弱性は、2012 年 3 月 12 日に Microsoft が発表した RDP 脆弱性 (CVE-2012-0002) とは異なります。

この脆弱性に対処するためのアップデートに関する Microsoft の手順を含めた脆弱性についての詳細情報は、こちらでご覧いただけます。

http://technet.microsoft.com/en-us/security/bulletin/ms12-036

Windows インスタンスを実行しており、Windows で自動ソフトウェア更新機能を有効にした AWS のお客様は、必要な更新をダウンロードしてインストールする必要があり、インストール後はこの脆弱性が自動的に対処されます。自動更新が有効化されていることを確認する方法に関する手順は、こちらに記載されています。

http://windows.microsoft.com/en-US/windows/help/windows-update

Windows インスタンスを実行しており、Windows で自動ソフトウェア更新機能を有効にしていない AWS のお客様は、以下に記載されている手順に従って必要な更新を手動でインストールする必要があります。

http://windows.microsoft.com/en-US/windows/help/windows-update

Microsoft は、こちらで Windows のための自動ソフトウェア更新設定オプションに関する追加のガイダンスを提供しています。

http://support.microsoft.com/kb/294871

お使いのインスタンスがこのタイプの脆弱性にさらされないようにするため、AWS はインバウンド TCP ポート 3389 を正規のRDP セッションの発信元となるソース IP アドレスのみに制限することを強くお勧めします。これらのアクセス制限は、EC2 セキュリティグループを適切に設定することによって適用できます。セキュリティグループを適切に設定して適用する方法に関する情報と例については、次のドキュメントを参照してください。

http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/adding-security-group-rules.html?r=8504

すべての EC2 リージョンにある AWS 提供のデフォルト EC2 Windows Amazon マシンイメージ (AMI) には、この Windows RDP 脆弱性に対処する Microsoft セキュリティ更新が組み込まれています。AWS EC2 Windows AMI は、こちらから表示および起動できます。

https://aws.amazon.com/amis?ami_provider_id=1&platform=Windows