Významný nárůst aktivity zaměřené na port TCP 1025 v systémech Windows může být známkou toho, že útočníci shromažďují informace pro nadcházející útok na neopravené servery, varovala dnes společnost Symantec Corp..

Síť DeepSight společnosti Symantec pro sledování hrozeb zaznamenala „poměrně značný“ nárůst počtu senzorů, které zaznamenaly události na portu TCP 1025, uvedla Mimi Hoangová, produktová manažerka skupiny v týmu společnosti pro bezpečnostní reakce. „Normální úroveň aktivity by byla asi 30 IP adres, plus minus, s počtem událostí pod 100,“ řekla Hoangová. „Ale tady vidíme 1 400 až 1 500 IP adres a více než 8 000 událostí.“

„Takový nárůst se neděje bezdůvodně,“ řekla.“

Hoangová to nechtěla definitivně spojit se zranitelností služby Windows DNS Server Service, kterou Microsoft přiznal minulý čtvrtek, ale řekla: „Máme podezření, že je to proto, že jakýkoli vysoký port nad 1024 je spojen s RPC společnosti Microsoft . A 1025 je první otevřený port, který RPC používá.“

Chybu v systémech Windows 2000 Server a Windows Server 2003 lze zneužít odesláním škodlivého paketu RPC přes port 105 nebo vyšší. Společnost Microsoft totiž doporučila firmám, aby blokovaly veškerý příchozí nevyžádaný provoz na portech 1024 a vyšších.

„Vzhledem k nedávné zranitelnosti Microsoft Windows DNS Remote Procedure Call Interface může být tento nárůst provozu spojen se skenováním a shromažďováním informací zaměřeným na vyhodnocení dostupných koncových bodů Windows RPC,“ uvádí se ve varování společnosti Symantec. „Tento provoz může také naznačovat nárůst pokusů o zneužití přes TCP 1025, ačkoli to v době psaní tohoto článku nebylo ověřeno.“

Do dnešního poledne Hoang zopakoval, že společnost Symantec nepotvrdila žádnou souvislost mezi aktivitou na portu a skutečnými zneužitími.

Zneužití se však podle společnosti Symantec a dalších bezpečnostních organizací nadále množí. Společnost Immunity Inc. v Miami Beach dnes zveřejnila exploit pro chybu serveru DNS pro svůj framework pro penetrační testování Canvas, čímž se celkový počet veřejně zveřejněných exploitů zvýšil na pět. Jeden z posledních exploitů údajně využívá port TCP a UDP 445, který společnost Microsoft teprve včera doporučila zablokovat.

Výzkumníci také předkládají další strategie útoku, částečně proto, že běžné cesty přes klientské počítače se systémy Windows 2000, Windows XP nebo Windows Vista nejsou k dispozici.

Marten Van Horenbeeck, jeden z analytiků Centra internetových bouří institutu SANS, dnes poznamenal, že servery hostingových služeb se systémem Windows 2003 Server mohou být ohroženy, protože ačkoli provozují služby DNS i jiné – například HTPP a FTP – obvykle nejsou chráněny samostatným firewallem. V ohrožení mohou být i servery Active Directory, uvedl Van Horenbeeck.

„Servery Active Directory hostované ve vnitřní síti jsou často kombinovány s funkcemi DNS,“ uvedl Horenbeeck ve výzkumné zprávě ISC. „Tyto stroje jsou obvykle méně chráněné než servery DNS v DMZ a další poskytované funkce mohou vyžadovat dostupnost portů RPC. Pokud je váš server aktivního adresáře napaden, hra v podstatě končí.“

Microsoft několikrát uvedl, že na opravě pracuje, ale zatím se nezavázal k datu vydání. Další plánovaný den oprav má společnost až za tři týdny, 8. května.

.