複数のリモートデスクトップ接続を管理できる「RDCMan」に脆弱性、修正予定はなく公開終了へ

「Remote Desktop Connection Manager（RDCMan）」

　米Microsoftは、「Remote Desktop Connection Manager（RDCMan）」の公開を終了した。今月のパッチチューズデーで脆弱性が1件存在するとアナウンスされていたが、修正版の提供予定はないとのこと。代替ツールへの移行が推奨されている。

　「RDCMan」は、複数の“リモート デスクトップ接続”を一元管理できるソフト。接続設定をグルーピングし、階層管理できるほか、グループ単位での接続や切断も可能で、大量の端末をリモート管理する必要のあるユーザーに愛用されていた。しかし、「RDCMan」は2014年11月にリリースされたv2.7.1406.0を最後にメンテナンスされておらず、すでに時代遅れとなっている。

　今回アナウンスされた「RDCMan」の脆弱性（CVE-2020-0765）は、外部実体参照を含むXMLを解析する処理に欠陥があり、XML外部実体（XXE）攻撃が可能になるというもの。認証されたユーザーに細工を施した「RDCMan」の設定ファイル（.rdg）を読み込ませる手法で、機密情報を盗み取られる可能性がある。脆弱性の深刻度は“Moderate”で、悪用は確認されていない。

　Microsoftは「RDCMan」の代わりに、OS標準の「リモート デスクトップ接続」アプリ（mstsc.exe）またはUWP版のWindows 10向け「リモート デスクトップ」アプリを利用するよう呼び掛けている。Windows 10向け「リモート デスクトップ」アプリであれば、セッションのカスタムグループ機能も利用可能だ。

UWP版のWindows 10向け「リモート デスクトップ」アプリ