En stor stigning i aktivitet rettet mod TCP Port 1025 på Windows-systemer kan være et tegn på, at angribere indsamler oplysninger til et kommende angreb mod ikke-patchede servere, advarede Symantec Corp. i dag.

Symantecs DeepSight-trusselsnetværk har oplevet en “temmelig stor” stigning i antallet af sensorer, der har registreret hændelser på TCP-port 1025, siger Mimi Hoang, Group Product Manager i virksomhedens sikkerhedsreaktionshold. “Et normalt aktivitetsniveau ville være omkring 30 IP-adresser med et antal hændelser på under 100,” siger Hoang. “Men her ser vi 1.400 til 1.500 IP-adresser og mere end 8.000 hændelser.”

“En spike som denne sker ikke uden grund,” sagde hun.

Hoang ville ikke definitivt forbinde det med Windows DNS Server Service-sårbarheden, som Microsoft erkendte i torsdags, men hun sagde: “Vi mistænker, at det er fordi enhver høj port over 1024 er forbundet med Microsofts RPC . Og 1025 er den første åbne port, der bruges af RPC.”

Buggen i Windows 2000 Server og Windows Server 2003 kan udnyttes ved at sende en skadelig RPC-pakke via port 105 eller højere. Microsoft har faktisk anbefalet, at virksomheder blokerer al indgående uopfordret trafik på port 1024 og højere.”

“I betragtning af den nylige Microsoft Windows DNS Remote Procedure Call Interface-sårbarhed i Windows DNS kan denne trafikspids være forbundet med scanning og indsamling af oplysninger med henblik på at vurdere tilgængelige Windows RPC-slutpunkter,” hedder det i Symantecs advarsel. “Trafikken kan også indikere en stigning i forsøg på at udnytte TCP 1025, selv om dette ikke er blevet verificeret i skrivende stund.”

Hoang havde ved middagstid i dag gentaget, at Symantec ikke havde bekræftet nogen forbindelse mellem portaktiviteten og faktiske udnyttelser.

Udnyttelser fortsætter dog med at sprede sig, sagde Symantec og andre sikkerhedsorganisationer. Immunity Inc. i Miami Beach frigav i dag en udnyttelse af DNS-serverfejlen til deres Canvas-ramme til penetrationstestning, hvilket bringer det samlede antal offentligt offentliggjorte udnyttelser op på fem. En nyere udnyttelse anvender angiveligt TCP- og UDP-port 445, som Microsoft først i går anbefalede at blokere.

Forskere foreslår også yderligere angrebsstrategier, bl.a. fordi de normale ruter gennem klient-pc’er, der kører Windows 2000, Windows XP eller Windows Vista, ikke er tilgængelige.

Maarten Van Horenbeeck, en af analytikerne i SANS Institute’s Internet Storm Center, bemærkede i dag, at servere til hosting-tjenester, der kører Windows 2003 Server, kan være i fare, for selv om de kører DNS-tjenester og andre tjenester – f.eks. HTPP og FTP – er de normalt ikke beskyttet af en separat firewall. Active Directory-servere kan også være i fare, sagde Van Horenbeeck.

“Active Directory-servere, der hostes på det interne netværk, er ofte kombineret med DNS-funktionalitet,” sagde Van Horenbeeck i et ISC-forskningsnotat. “Disse maskiner er normalt mindre beskyttede end DMZ DNS-servere, og anden tilvejebragt funktionalitet kan kræve, at RPC-portene skal være tilgængelige. Hvis din Active Directory-server er kompromitteret, er spillet stort set slut.”

Microsoft har flere gange sagt, at selskabet arbejder på en patch, men har endnu ikke givet tilsagn om en udgivelsesdato. Virksomhedens næste planlagte patchdag er om tre uger, nemlig den 8. maj.