Un importante aumento de la actividad dirigida al puerto TCP 1025 en los sistemas Windows podría ser una señal de que los atacantes están reuniendo información para un próximo ataque contra servidores sin parches, advirtió hoy Symantec Corp.

La red de amenazas DeepSight de Symantec ha visto un aumento «bastante considerable» en el número de sensores que han registrado eventos en el puerto TCP 1025, dijo Mimi Hoang, gerente de producto de grupo con el equipo de respuesta de seguridad de la compañía. «Un nivel normal de actividad sería de unas 30 direcciones IP, más o menos, con un número de eventos inferior a 100», dijo Hoang. «Pero aquí estamos viendo entre 1.400 y 1.500 direcciones IP y más de 8.000 eventos.

«Un pico como éste no ocurre sin una razón», dijo.

Hoang no quiso relacionarlo definitivamente con la vulnerabilidad del Servicio de Servidores DNS de Windows que Microsoft reconoció el jueves pasado, pero sí dijo: «Sospechamos que se debe a que cualquier puerto alto por encima de 1024 está asociado con el RPC de Microsoft . Y el 1025 es el primer puerto abierto utilizado por RPC».

El fallo en Windows 2000 Server y Windows Server 2003 puede explotarse enviando un paquete RPC malicioso a través del puerto 105 o superior. Microsoft, de hecho, ha recomendado a las empresas que bloqueen todo el tráfico entrante no solicitado en los puertos 1024 y superiores.

«Teniendo en cuenta la reciente vulnerabilidad de la interfaz de llamadas a procedimientos remotos DNS de Microsoft Windows, este pico de tráfico puede estar asociado con el escaneo y la recopilación de información destinada a evaluar los puntos finales RPC de Windows disponibles», dice la advertencia de Symantec. «El tráfico también puede estar indicando un aumento de los intentos de explotación a través de TCP 1025, aunque esto no ha sido verificado en el momento de escribir este artículo».

Hasta el mediodía de hoy, Hoang había reiterado que Symantec no había confirmado ninguna relación entre la actividad del puerto y los exploits reales.

Los exploits, sin embargo, siguen proliferando, dijeron Symantec y otras organizaciones de seguridad. Immunity Inc. en Miami Beach publicó hoy un exploit para el fallo del servidor DNS para su marco de pruebas de penetración Canvas, lo que eleva a cinco el total de exploits publicados. Uno de los últimos exploits utiliza, al parecer, los puertos TCP y UDP 445, que Microsoft recomendó bloquear ayer mismo.

Los investigadores también están planteando estrategias de ataque adicionales, en parte porque las rutas normales a través de los PCs cliente con Windows 2000, Windows XP o Windows Vista no están disponibles.

Hoy, Maarten Van Horenbeeck, uno de los analistas del Centro de Tormentas de Internet del Instituto SANS, señaló que los servidores de servicios de hospedaje que ejecutan Windows 2003 Server pueden estar en riesgo porque, aunque ejecutan servicios DNS así como otros – HTPP y FTP, por ejemplo – no suelen estar protegidos por un cortafuegos separado. Los servidores de Active Directory también pueden estar en peligro, según Van Horenbeeck.

«Los servidores de Active Directory alojados en la red interna suelen estar combinados con la funcionalidad DNS», afirma Horenbeeck en una nota de investigación del ISC. «Estas máquinas suelen estar menos protegidas que los servidores DNS de la DMZ, y otras funcionalidades previstas pueden requerir que los puertos RPC estén disponibles. Si su servidor de directorio activo se ve comprometido, el juego está esencialmente terminado».

Microsoft ha dicho varias veces que está trabajando en un parche, pero aún no se ha comprometido a una fecha de lanzamiento. El próximo día de parche programado por la compañía es dentro de tres semanas, el 8 de mayo.