Ein starker Anstieg der Aktivitäten, die auf TCP Port 1025 auf Windows-Systemen abzielen, könnte ein Zeichen dafür sein, dass Angreifer Informationen für einen bevorstehenden Angriff auf ungepatchte Server sammeln, warnte Symantec Corp. heute.

Das DeepSight-Bedrohungsnetzwerk von Symantec hat einen „beträchtlichen“ Anstieg der Anzahl von Sensoren festgestellt, die Ereignisse auf TCP Port 1025 registriert haben, sagte Mimi Hoang, Group Product Manager im Security Response Team des Unternehmens. „Ein normales Aktivitätsniveau liegt bei etwa 30 IP-Adressen und einer Anzahl von Ereignissen unter 100″, so Hoang. Aber hier sehen wir 1.400 bis 1.500 IP-Adressen und mehr als 8.000 Ereignisse.“

„Eine solche Spitze passiert nicht ohne Grund“, sagte sie.“

Hoang würde es nicht definitiv mit der Windows DNS Server Service-Schwachstelle in Verbindung bringen, die Microsoft letzten Donnerstag bestätigt hat, aber sie sagte: „Wir vermuten, dass es daran liegt, dass jeder hohe Port über 1024 mit Microsofts RPC verbunden ist. Und 1025 ist der erste offene Port, der von RPC verwendet wird.“

Der Fehler in Windows 2000 Server und Windows Server 2003 kann ausgenutzt werden, indem ein bösartiges RPC-Paket über Port 105 oder höher gesendet wird. Microsoft hat Unternehmen empfohlen, jeglichen eingehenden unaufgeforderten Datenverkehr über Ports 1024 und höher zu blockieren.

„In Anbetracht der kürzlich aufgetretenen Microsoft Windows DNS Remote Procedure Call Interface-Schwachstelle kann diese Datenverkehrsspitze mit dem Scannen und Sammeln von Informationen verbunden sein, die darauf abzielen, verfügbare Windows RPC-Endpunkte zu bewerten“, heißt es in der Warnung von Symantec. „Der Datenverkehr könnte auch auf eine Zunahme von Exploit-Versuchen über TCP 1025 hindeuten, obwohl dies zum Zeitpunkt dieses Schreibens noch nicht verifiziert wurde.“

Bis heute Mittag hatte Hoang bekräftigt, dass Symantec keinen Zusammenhang zwischen der Port-Aktivität und tatsächlichen Exploits bestätigt habe.

Exploits breiten sich jedoch weiter aus, so Symantec und andere Sicherheitsorganisationen. Immunity Inc. in Miami Beach hat heute einen Exploit für den DNS-Server-Bug für sein Canvas-Penetrationstest-Framework veröffentlicht, womit die Gesamtzahl der öffentlich veröffentlichten Exploits auf fünf gestiegen ist. Ein neues Exploit nutzt Berichten zufolge den TCP- und UDP-Port 445, dessen Sperrung Microsoft erst gestern empfohlen hat.

Forscher stellen auch zusätzliche Angriffsstrategien auf, zum Teil weil die normalen Routen über Client-PCs mit Windows 2000, Windows XP oder Windows Vista nicht verfügbar sind.

Heute wies Maarten Van Horenbeeck, einer der Analysten im Internet Storm Center des SANS-Instituts, darauf hin, dass Server für Hosting-Dienste, die unter Windows 2003 Server laufen, gefährdet sein könnten, da sie zwar DNS-Dienste und andere Dienste – beispielsweise HTPP und FTP – ausführen, aber in der Regel nicht durch eine separate Firewall abgeschirmt sind. Auch Active Directory-Server können laut Van Horenbeeck gefährdet sein.

„Active Directory-Server, die im internen Netzwerk gehostet werden, sind oft mit DNS-Funktionen kombiniert“, so Horenbeeck in einer ISC-Forschungsnotiz. „Diese Maschinen sind in der Regel weniger geschützt als DMZ-DNS-Server, und andere bereitgestellte Funktionen können die Verfügbarkeit der RPC-Ports erfordern. Wenn Ihr Active-Directory-Server kompromittiert wird, ist das Spiel im Grunde genommen vorbei.“

Microsoft hat mehrfach erklärt, dass es an einem Patch arbeitet, hat sich aber noch nicht auf ein Veröffentlichungsdatum festgelegt. Der nächste geplante Patch-Tag des Unternehmens ist in drei Wochen, am 8. Mai.“