Un importante picco nell’attività che prende di mira la porta TCP 1025 sui sistemi Windows può essere un segno che gli attaccanti stanno raccogliendo informazioni per un prossimo attacco contro i server senza patch, ha avvertito oggi Symantec Corp.

La rete delle minacce DeepSight di Symantec ha visto un aumento “abbastanza considerevole” nel numero di sensori che hanno registrato eventi sulla porta TCP 1025, ha detto Mimi Hoang, group product manager del team di risposta alla sicurezza dell’azienda. “Un livello normale di attività sarebbe di circa 30 indirizzi IP, più o meno, con un numero di eventi inferiore a 100”, ha detto Hoang. “Ma qui stiamo vedendo da 1.400 a 1.500 indirizzi IP e più di 8.000 eventi.

“Un picco come questo non accade senza una ragione”, ha detto.

Hoang non lo collegherebbe definitivamente con la vulnerabilità di Windows DNS Server Service che Microsoft ha riconosciuto giovedì scorso, ma ha detto: “Sospettiamo che sia perché qualsiasi porta alta sopra 1024 è associata con RPC di Microsoft. E 1025 è la prima porta aperta usata da RPC.”

Il bug in Windows 2000 Server e Windows Server 2003 può essere sfruttato inviando un pacchetto RPC dannoso attraverso la porta 105 o superiore. Microsoft, infatti, ha raccomandato alle aziende di bloccare tutto il traffico in entrata non richiesto sulle porte 1024 e superiori.

“Considerando la recente vulnerabilità dell’interfaccia Microsoft Windows DNS Remote Procedure Call, questo picco di traffico può essere associato alla scansione e alla raccolta di informazioni volte a valutare gli endpoint RPC di Windows disponibili”, dice l’avviso di Symantec. “Il traffico può anche indicare un aumento dei tentativi di exploit su TCP 1025, anche se questo non è stato verificato al momento di questa scrittura.”

Per mezzogiorno di oggi, Hoang ha ribadito che Symantec non ha confermato alcun legame tra l’attività della porta e gli exploit effettivi.

Gli exploit, tuttavia, continuano a proliferare, dicono Symantec e altre organizzazioni di sicurezza. Immunity Inc. a Miami Beach ha rilasciato un exploit per il bug del server DNS oggi per il suo Canvas penetration-testing framework, mettendo il totale degli exploit pubblicamente pubblicati a cinque. Un recente exploit, secondo quanto riferito, utilizza TCP e UDP Port 445, che Microsoft ha raccomandato di bloccare solo ieri.

I ricercatori stanno anche ipotizzando ulteriori strategie di attacco, in parte perché i percorsi normali attraverso i PC client con Windows 2000, Windows XP o Windows Vista non sono disponibili.

Oggi, Maarten Van Horenbeeck, uno degli analisti dell’Internet Storm Center del SANS Institute, ha notato che i server di servizi di hosting che eseguono Windows 2003 Server possono essere a rischio perché, sebbene eseguano servizi DNS così come altri — HTPP e FTP, per esempio — di solito non sono protetti da un firewall separato. Anche i server Active Directory possono essere in pericolo, ha detto Van Horenbeeck.

“I server Active Directory ospitati sulla rete interna sono spesso combinati con funzionalità DNS”, ha detto Horenbeeck in una nota di ricerca ISC. “Queste macchine sono di solito meno protette dei server DNS DMZ, e altre funzionalità fornite possono richiedere che le porte RPC siano disponibili. Se il vostro server di directory attiva è compromesso, il gioco è essenzialmente finito.”

Microsoft ha detto più volte che sta lavorando su una patch, ma non si è ancora impegnata per una data di rilascio. Il prossimo giorno di patch programmato dall’azienda è tra tre settimane, l’8 maggio.