Windows システムの TCP ポート 1025 を標的とした活動の大幅な急増は、攻撃者がパッチ未適用のサーバーに対する今後の攻撃のために情報を収集している兆候かもしれないと Symantec Corp は本日警告しました。

Symantec の DeepSight 脅威ネットワークでは、TCP ポート 1025 でイベントを登録したセンサーの数が「かなり」増加していると、同社のセキュリティ対応チームのグループ製品マネージャーである Mimi Hoang 氏は述べています。 「Hoang氏は、「通常の活動レベルでは、IPアドレスは30程度で、イベントの数は100を下回るでしょう。 「

「このようなスパイクは理由なしに起こるものではありません」と彼女は言いました。 そして、1025 は RPC で使用される最初のオープン ポートです」

Windows 2000 Server および Windows Server 2003 のバグは、ポート 105 以上を介して悪意のある RPC パケットを送信することで悪用される可能性があります。 マイクロソフトは実際、企業がポート 1024 以上のすべての受信未承諾トラフィックをブロックすることを推奨しています。

「最近の Microsoft Windows DNS Remote Procedure Call Interface Vulnerability を考慮すると、このトラフィック急増は、利用できる Windows RPC エンドポイントを査定する目的でスキャンや情報収集と関連しているかもしれません」と Symantec の警告では述べています。 「このトラフィックは、TCP 1025 上でのエクスプロイトの試みの増加を示している可能性もありますが、この記事の執筆時点では確認されていません」

今日の正午までに、Hoang は、Symantec がポートの活動と実際のエクスプロイトとの関連を確認していないことを再度表明しました。 マイアミビーチの Immunity Inc. は、同社の侵入テストフレームワーク Canvas 用に DNS サーバーのバグに対するエクスプロイトを本日公開し、公開されたエクスプロイトの合計は 5 つとなりました。 また、研究者は、Windows 2000、Windows XP、または Windows Vista を実行しているクライアント PC を経由する通常のルートが利用できないこともあり、追加の攻撃戦略を想定しています。

SANS Institute の Internet Storm Center のアナリストの 1 人である Maarten Van Horenbeeck は、Windows 2003 Server を実行するホスティング サービス サーバーが危険である可能性があると指摘しました。 Active Directory サーバーも危険かもしれないと、Van Horenbeeck 氏は ISC のリサーチ ノートの中で述べています。 「これらのマシンは通常、DMZ DNS サーバーよりも保護されておらず、提供される他の機能は、RPC ポートが利用可能であることを必要とする場合があります。 Active Directory サーバーが侵害された場合、基本的にゲームは終了します」

Microsoft は、パッチに取り組んでいると何度か述べていますが、まだリリース日を確約していません。 同社の次のパッチ予定日は、3週間後の5月8日です。