Windows-järjestelmien TCP-porttiin 1025 kohdistuvan toiminnan voimakas lisääntyminen voi olla merkki siitä, että hyökkääjät keräävät tietoja tulevaa hyökkäystä varten, joka kohdistuu korjaamattomiin palvelimiin, varoitti Symantec Corp. tänään.

Symantecin DeepSight-uhkaverkko on havainnut ”melko huomattavaa” kasvua niiden sensoreiden määrässä, jotka ovat rekisteröineet TCP-porttiin 1025 kohdistuvia tapahtumia, kertoi Mimi Hoang, ryhmän tuotepäällikkö yhtiön tietoturvavastuutiimissä. ”Normaali aktiviteettitaso olisi noin 30 IP-osoitetta, ja tapahtumien määrä olisi alle 100”, Hoang sanoi. ”Mutta tässä tapauksessa näemme 1 400-1 500 IP-osoitetta ja yli 8 000 tapahtumaa.”

”Tällaista piikkiä ei tapahdu ilman syytä”, hän sanoi.

Hoang ei yhdistäisi sitä lopullisesti Windows DNS Server Service -haavoittuvuuteen, jonka Microsoft myönsi viime torstaina, mutta sanoi: ”Epäilemme, että syynä on se, että mikä tahansa 1024:n yläpuolella oleva korkea portti liittyy Microsoftin RPC . Ja 1025 on ensimmäinen RPC:n käyttämä avoin portti.”

Windows 2000 Serverissä ja Windows Server 2003:ssa olevaa virhettä voidaan käyttää hyväksi lähettämällä haitallinen RPC-paketti portin 105 tai korkeamman portin kautta. Microsoft on itse asiassa suositellut, että yritykset estävät kaiken saapuvan ei-toivotun liikenteen portteihin 1024 ja sitä suurempiin portteihin.”

”Ottaen huomioon äskettäisen Microsoft Windows DNS Remote Procedure Call Interface -haavoittuvuuden, tämä liikennepiikki voi liittyä skannaukseen ja tiedustelun keräämiseen, jonka tarkoituksena on arvioida käytettävissä olevia Windows RPC -päätepisteitä”, Symantecin varoituksessa todetaan. ”Liikenne saattaa myös viitata TCP 1025:n kautta tapahtuvien hyväksikäyttöyritysten lisääntymiseen, vaikka tätä ei ole varmistettu tätä kirjoitettaessa.”

Hoang oli tänään puoleenpäivään mennessä toistanut, että Symantec ei ollut vahvistanut yhteyttä porttitoiminnan ja todellisten hyväksikäyttöjen välillä.

Hyökkäysyritykset jatkavat kuitenkin edelleen yleistymistään, Symantec ja muut tietoturvaorganisaatiot sanoivat. Miami Beachissa sijaitseva Immunity Inc. julkaisi tänään DNS-palvelinvirheeseen liittyvän hyväksikäytön Canvas-penetraatiotestauspuitteistoaan varten, joten julkisesti julkaistuja hyväksikäyttöjä on nyt yhteensä viisi. Yhden viimeisimmän hyväksikäytön kerrotaan käyttävän TCP- ja UDP-porttia 445, jonka estämistä Microsoft suositteli vasta eilen.

Tutkijat kehittävät myös muita hyökkäysstrategioita, osittain siksi, että normaalit reitit Windows 2000-, Windows XP- tai Windows Vista -käyttöjärjestelmiä käyttävien asiakastietokoneiden kautta eivät ole käytettävissä.

Maarten Van Horenbeeck, yksi SANS-instituutin Internet Storm Centerin analyytikoista, huomautti tänään, että Windows 2003 Server -käyttöjärjestelmää käyttävät hosting-palvelupalvelimet voivat olla vaarassa, koska vaikka ne pyörittävät DNS-palveluja sekä muita – esimerkiksi HTPP- ja FTP-palveluja – niitä ei yleensä suojata erillisellä palomuurilla. Myös aktiivihakemistopalvelimet voivat olla vaarassa, sanoi Van Horenbeeck.

”Sisäverkossa isännöidyt aktiivihakemistopalvelimet yhdistetään usein DNS-toimintoihin”, Horenbeeck sanoi ISC:n tutkimusmuistiossa. ”Nämä koneet ovat yleensä vähemmän suojattuja kuin DMZ:n DNS-palvelimet, ja muut tarjotut toiminnot saattavat vaatia, että RPC-portit ovat käytettävissä. Jos aktiivihakemistopalvelin vaarantuu, peli on käytännössä ohi.”

Microsoft on sanonut useaan otteeseen, että se työstää korjausta, mutta se ei ole vielä sitoutunut julkaisupäivään. Yhtiön seuraava suunniteltu korjauspäivä on kolmen viikon kuluttua, 8. toukokuuta.