Um grande pico de atividade visando a porta TCP 1025 em sistemas Windows pode ser um sinal de que os atacantes estão reunindo inteligência para um ataque próximo contra servidores não corrigidos, a Symantec Corp. advertiu hoje.

A rede de ameaças DeepSight da Symantec viu um aumento “bastante grande” no número de sensores que registraram eventos na porta TCP 1025, disse Mimi Hoang, gerente de produto do grupo com a equipe de resposta de segurança da empresa. “Um nível normal de atividade seria de cerca de 30 endereços IP, mais ou menos, com o número de eventos abaixo de 100”, disse Hoang. “Mas aqui estamos vendo 1.400 a 1.500 endereços IP e mais de 8.000 eventos.

“Um pico como este não acontece sem uma razão”, disse ela.

Hoang não o conectaria definitivamente com a vulnerabilidade do Windows DNS Server Service que a Microsoft reconheceu na última quinta-feira, mas ela disse, “Suspeitamos que seja porque qualquer porta alta acima de 1024 está associada ao RPC da Microsoft . E 1025 é a primeira porta aberta usada pelo RPC”

O bug no Windows 2000 Server e Windows Server 2003 pode ser explorado através do envio de um pacote RPC malicioso pela porta 105 ou superior. A Microsoft, de fato, recomendou que as empresas bloqueiem todo o tráfego de entrada não solicitado nas portas 1024 e superiores.

“Considerando a recente Vulnerabilidade da Interface de Chamada de Procedimento Remoto do DNS do Microsoft Windows, este pico de tráfego pode estar associado à varredura e coleta de inteligência com o objetivo de avaliar os endpoints do Windows RPC disponíveis”, disse o aviso da Symantec. “O tráfego também pode estar indicando um aumento nas tentativas de exploração sobre o TCP 1025, embora isso não tenha sido verificado no momento em que foi escrito”

Até o meio-dia de hoje, Hoang tinha reiterado que a Symantec não tinha confirmado qualquer ligação entre a atividade da porta e as explorações reais.

Exploits, no entanto, continuam a proliferar, disse a Symantec e outras organizações de segurança. A Immunity Inc. em Miami Beach lançou hoje um exploit para o bug do servidor DNS para sua estrutura de testes de penetração de tela, colocando o total de exploits postados publicamente em cinco. Um exploit recente, segundo informações, usa TCP e Porta UDP 445, que a Microsoft recomendou bloquear apenas ontem.

Pesquisadores também estão postando estratégias de ataque adicionais, em parte porque as rotas normais através de PCs clientes rodando Windows 2000, Windows XP ou Windows Vista não estão disponíveis.

Hoje, Maarten Van Horenbeeck, um dos analistas do SANS Institute’s Internet Storm Center, observou que servidores de serviços de hospedagem rodando Windows 2003 Server podem estar em risco porque embora eles rodem serviços DNS assim como outros — HTPP e FTP, por exemplo — eles normalmente não são blindados por um firewall separado. Os servidores Active Directory também podem estar em perigo, disse Van Horenbeeck.

“Servidores Active Directory hospedados na rede interna são frequentemente combinados com a funcionalidade DNS”, disse Horenbeeck em uma nota de pesquisa do ISC. “Estas máquinas são normalmente menos protegidas que os servidores DNS DMZ, e outras funcionalidades provisionadas podem requerer que as portas RPC estejam disponíveis. Se o seu servidor de directório activo estiver comprometido, o jogo está essencialmente terminado”

Microsoft disse várias vezes que está a trabalhar num patch, mas ainda não se comprometeu com uma data de lançamento. O próximo dia agendado para o patch da empresa é daqui a três semanas, em 8.