Un important pic d’activité ciblant le port TCP 1025 sur les systèmes Windows pourrait être le signe que les attaquants rassemblent des renseignements en vue d’une prochaine attaque contre des serveurs non patchés, a averti aujourd’hui Symantec Corp.

Le réseau de menaces DeepSight de Symantec a connu une augmentation « assez importante » du nombre de capteurs qui ont enregistré des événements sur le port TCP 1025, a déclaré Mimi Hoang, chef de produit de groupe au sein de l’équipe de réponse de sécurité de l’entreprise. « Un niveau d’activité normal serait d’environ 30 adresses IP, à peu près, avec un nombre d’événements inférieur à 100 », a déclaré Hoang. « Mais ici, nous voyons 1 400 à 1 500 adresses IP et plus de 8 000 événements.

« Un pic comme celui-ci ne se produit pas sans raison », a-t-elle ajouté.

Hoang n’a pas voulu établir de lien définitif avec la vulnérabilité du service Windows DNS Server que Microsoft a reconnue jeudi dernier, mais elle a dit : « Nous soupçonnons que c’est parce que tout port élevé au-dessus de 1024 est associé au RPC de Microsoft… ». Et 1025 est le premier port ouvert utilisé par RPC. »

Le bogue dans Windows 2000 Server et Windows Server 2003 peut être exploité en envoyant un paquet RPC malveillant via le port 105 ou plus. Microsoft a d’ailleurs recommandé aux entreprises de bloquer tout le trafic entrant non sollicité sur les ports 1024 et plus.

« Compte tenu de la récente vulnérabilité de l’interface d’appel de procédure à distance Microsoft Windows DNS, ce pic de trafic peut être associé à un balayage et à une collecte de renseignements visant à évaluer les points d’extrémité RPC Windows disponibles », indique l’avertissement de Symantec. « Le trafic peut également indiquer une augmentation des tentatives d’exploitation sur TCP 1025, bien que cela n’ait pas été vérifié au moment de la rédaction de cet article. »

A la mi-journée aujourd’hui, Hoang avait réitéré que Symantec n’avait pas confirmé de lien entre l’activité du port et les exploits réels.

Les exploits, cependant, continuent de proliférer, ont déclaré Symantec et d’autres organisations de sécurité. Immunity Inc. à Miami Beach a publié aujourd’hui un exploit pour le bogue du serveur DNS pour son cadre de test de pénétration Canvas, ce qui porte à cinq le nombre total d’exploits publiés publiquement. Un exploit récent utiliserait le port 445 TCP et UDP, que Microsoft a recommandé de bloquer hier seulement.

Les chercheurs posent également des stratégies d’attaque supplémentaires, en partie parce que les routes normales à travers les PC clients fonctionnant sous Windows 2000, Windows XP ou Windows Vista ne sont pas disponibles.

Aujourd’hui, Maarten Van Horenbeeck, l’un des analystes de l’Internet Storm Center du SANS Institute, a noté que les serveurs de services d’hébergement fonctionnant sous Windows 2003 Server peuvent être en danger car, bien qu’ils exécutent les services DNS ainsi que d’autres — HTPP et FTP, par exemple — ils ne sont généralement pas protégés par un pare-feu distinct. Les serveurs Active Directory peuvent également être en danger, a déclaré Van Horenbeeck.

« Les serveurs Active Directory hébergés sur le réseau interne sont souvent combinés avec la fonctionnalité DNS », a déclaré Horenbeeck dans une note de recherche ISC. « Ces machines sont généralement moins protégées que les serveurs DNS DMZ, et d’autres fonctionnalités provisionnées peuvent nécessiter que les ports RPC soient disponibles. Si votre serveur Active Directory est compromis, la partie est essentiellement terminée. »

Microsoft a déclaré à plusieurs reprises qu’il travaillait sur un correctif, mais il ne s’est pas encore engagé sur une date de sortie. Le prochain jour de patch prévu par la société est dans trois semaines, le 8 mai.