A Windows rendszereken a TCP Port 1025-öt célzó aktivitás jelentős megugrása annak a jele lehet, hogy a támadók információkat gyűjtenek egy közelgő, javítatlan szerverek elleni támadáshoz, figyelmeztetett ma a Symantec Corp..

A Symantec DeepSight fenyegetettségi hálózata “elég jelentős” növekedést tapasztalt azon érzékelők számában, amelyek a TCP 1025-ös porton regisztráltak eseményeket, mondta Mimi Hoang, a vállalat biztonsági válaszcsapatának csoportos termékmenedzsere. “A normális aktivitási szint körülbelül 30 IP-címet jelent, és az események száma 100 alatt van” – mondta Hoang. “Itt azonban 1400-1500 IP-címet és több mint 8000 eseményt látunk.”

“Egy ilyen kiugrás nem történik ok nélkül” – mondta.”

Hoang nem hozta véglegesen összefüggésbe a Windows DNS Server Service sebezhetőségével, amelyet a Microsoft múlt csütörtökön ismert el, de azt mondta: “Gyanítjuk, hogy ez azért van, mert minden 1024 feletti magas port a Microsoft RPC . És az 1025 az első nyitott port, amelyet az RPC használ.”

A Windows 2000 Server és a Windows Server 2003 rendszerben a hiba kihasználható egy rosszindulatú RPC csomag elküldésével a 105-ös vagy magasabb porton keresztül. A Microsoft egyébként azt ajánlotta a vállalkozásoknak, hogy blokkoljanak minden bejövő kéretlen forgalmat az 1024-es vagy annál nagyobb portokon.”

“Tekintettel a Microsoft Windows DNS távoli eljáráshívó interfészének közelmúltbeli sebezhetőségére, ez a forgalomnövekedés az elérhető Windows RPC végpontok felmérésére irányuló szkenneléssel és információgyűjtéssel állhat összefüggésben” – áll a Symantec figyelmeztetésében. “A forgalom a TCP 1025-ön keresztüli kihasználási kísérletek növekedését is jelezheti, bár ezt az írás időpontjában még nem sikerült ellenőrizni.”

Ma délben Hoang megismételte, hogy a Symantec nem erősítette meg a portok aktivitása és a tényleges kihasználások közötti kapcsolatot.

A kihasználások azonban továbbra is terjednek – közölte a Symantec és más biztonsági szervezetek. A Miami Beach-i Immunity Inc. ma a Canvas behatolás-tesztelő keretrendszeréhez kiadott egy exploitot a DNS szerver hibára, ezzel a nyilvánosan közzétett exploitok száma ötre emelkedett. Az egyik legújabb exploit állítólag a 445-ös TCP és UDP portot használja, amelynek blokkolását a Microsoft csak tegnap javasolta.

A kutatók további támadási stratégiákat is felvetnek, részben azért, mert a Windows 2000, Windows XP vagy Windows Vista rendszert futtató ügyfélszámítógépeken keresztül nem állnak rendelkezésre a szokásos útvonalak.

Maarten Van Horenbeeck, a SANS Institute Internet Storm Center egyik elemzője ma megjegyezte, hogy a Windows 2003 Servert futtató tárhelyszolgáltató szerverek azért lehetnek veszélyeztetettek, mert bár ezeken is futnak DNS-szolgáltatások, valamint más – például HTPP és FTP – szolgáltatások, általában nem védi őket külön tűzfal. Van Horenbeeck szerint az Active Directory szerverek is veszélyben lehetnek.

“A belső hálózaton elhelyezett Active Directory szervereket gyakran DNS funkciókkal kombinálják” – mondta Horenbeeck az ISC kutatási jegyzetében. “Ezek a gépek általában kevésbé védettek, mint a DMZ DNS-kiszolgálók, és a rendelkezésre bocsátott egyéb funkciók megkövetelhetik az RPC-portok elérhetőségét. Ha az aktív címtárkiszolgálót veszélyeztetik, a játéknak lényegében vége.”

A Microsoft többször elmondta, hogy dolgozik a javításon, de még nem vállalt kiadási dátumot. A vállalat következő tervezett javítási napja három hét múlva, május 8-án lesz.