Większy wzrost aktywności na porcie TCP 1025 w systemach Windows może być oznaką, że napastnicy zbierają dane wywiadowcze do nadchodzącego ataku na niezałatane serwery – ostrzegła dziś firma Symantec Corp.

Sieć zagrożeń DeepSight firmy Symantec odnotowała „dość znaczny” wzrost liczby czujników, które zarejestrowały zdarzenia na porcie TCP 1025, powiedziała Mimi Hoang, menedżer ds. produktów grupowych w zespole reagowania na zagrożenia firmy. „Normalny poziom aktywności to około 30 adresów IP, mniej więcej, z liczbą zdarzeń poniżej 100” – powiedziała Hoang. „Ale tutaj widzimy 1,400 do 1,500 adresów IP i ponad 8,000 zdarzeń.

„Taki skok nie zdarza się bez powodu”, powiedziała.

Hoang nie chciała definitywnie połączyć tego z luką w Windows DNS Server Service, którą Microsoft potwierdził w zeszły czwartek, ale powiedziała, „Podejrzewamy, że to dlatego, że każdy wysoki port powyżej 1024 jest związany z Microsoft RPC . A 1025 jest pierwszym otwartym portem używanym przez RPC.”

Błąd w Windows 2000 Server i Windows Server 2003 może zostać wykorzystany poprzez wysłanie złośliwego pakietu RPC przez port 105 lub wyższy. Microsoft zaleca firmom blokowanie całego niechcianego ruchu przychodzącego na portach 1024 i większych.

„Biorąc pod uwagę niedawną lukę w interfejsie zdalnego wywoływania procedur Microsoft Windows DNS, ten wzrost ruchu może być związany ze skanowaniem i zbieraniem informacji w celu oceny dostępnych punktów końcowych Windows RPC” – czytamy w ostrzeżeniu firmy Symantec. „Ruch może również wskazywać na wzrost prób wykorzystania TCP 1025, choć nie zostało to zweryfikowane w momencie pisania tego tekstu.”

Do południa Hoang powtórzył, że Symantec nie potwierdził żadnego związku między aktywnością portów a rzeczywistymi exploitami.

Exploity jednak nadal się rozprzestrzeniają, jak twierdzi Symantec i inne organizacje zajmujące się bezpieczeństwem. Firma Immunity Inc. z Miami Beach opublikowała dzisiaj exploit na błąd w serwerze DNS dla swojego programu do testów penetracyjnych Canvas, dzięki czemu łączna liczba publicznie opublikowanych exploitów wynosi już pięć. Jeden z ostatnich exploitów wykorzystuje port TCP i UDP 445, którego zablokowanie Microsoft zalecił dopiero wczoraj.

Badacze przewidują również dodatkowe strategie ataku, częściowo dlatego, że normalne drogi przez komputery klienckie z systemami Windows 2000, Windows XP lub Windows Vista nie są dostępne.

Dzisiaj Maarten Van Horenbeeck, jeden z analityków Internet Storm Center w Instytucie SANS, zauważył, że serwery usług hostingowych pracujące pod kontrolą Windows 2003 Server mogą być narażone na niebezpieczeństwo, ponieważ mimo iż obsługują usługi DNS, jak również inne – HTPP i FTP, na przykład – zazwyczaj nie są chronione przez oddzielny firewall. Serwery Active Directory również mogą być zagrożone, powiedział Van Horenbeeck.

„Serwery Active Directory hostowane w sieci wewnętrznej są często połączone z funkcjonalnością DNS,” powiedział Horenbeeck w notatce badawczej ISC. „Maszyny te są zwykle słabiej chronione niż serwery DNS w DMZ, a inne funkcje mogą wymagać dostępności portów RPC. Jeśli twój serwer Active Directory jest zagrożony, gra jest zasadniczo skończona.”

Microsoft powiedział kilka razy, że pracuje nad łatą, ale nie zobowiązał się jeszcze do podania daty wydania. Następny zaplanowany przez firmę dzień wydania poprawki jest za trzy tygodnie, 8 maja.