O creștere majoră a activității care vizează portul TCP 1025 pe sistemele Windows poate fi un semn că atacatorii adună informații pentru un atac viitor împotriva serverelor neprotejate, a avertizat astăzi Symantec Corp.

Rețeaua de amenințări DeepSight a companiei Symantec a înregistrat o creștere „destul de considerabilă” a numărului de senzori care au înregistrat evenimente pe portul TCP 1025, a declarat Mimi Hoang, group product manager în cadrul echipei de răspuns de securitate a companiei. „Un nivel normal de activitate ar fi de aproximativ 30 de adrese IP, mai mult sau mai puțin, cu un număr de evenimente sub 100”, a spus Hoang. „Dar aici vedem între 1.400 și 1.500 de adrese IP și mai mult de 8.000 de evenimente.

„Un astfel de vârf nu se întâmplă fără un motiv”, a spus ea.

Hoang nu a vrut să facă o legătură definitivă cu vulnerabilitatea Windows DNS Server Service pe care Microsoft a recunoscut-o joia trecută, dar a spus: „Suspectăm că se datorează faptului că orice port ridicat peste 1024 este asociat cu Microsoft RPC . Iar 1025 este primul port deschis folosit de RPC.”

Bug-ul din Windows 2000 Server și Windows Server 2003 poate fi exploatat prin trimiterea unui pachet RPC malițios prin portul 105 sau mai mare. Microsoft, de fapt, a recomandat ca întreprinderile să blocheze tot traficul nesolicitat de intrare pe porturile 1024 și mai mari.

„Având în vedere recenta vulnerabilitate Microsoft Windows DNS Remote Procedure Call Interface Vulnerability, acest vârf de trafic poate fi asociat cu scanarea și colectarea de informații care vizează evaluarea punctelor finale Windows RPC disponibile”, se arată în avertismentul Symantec. „Traficul poate indica, de asemenea, o creștere a încercărilor de exploatare pe TCP 1025, deși acest lucru nu a fost verificat la momentul scrierii acestui text.”

Până la prânz astăzi, Hoang a reiterat că Symantec nu a confirmat nicio legătură între activitatea portului și exploatările reale.

Exploatările, cu toate acestea, continuă să prolifereze, au declarat Symantec și alte organizații de securitate. Immunity Inc. din Miami Beach a publicat astăzi un exploit pentru bug-ul serverului DNS pentru cadrul său de testare a penetrării Canvas, ridicând la cinci numărul total de exploit-uri publicate public. Un exploit recent se pare că folosește portul TCP și UDP 445, pe care Microsoft a recomandat să îl blocheze abia ieri.

Cercetătorii postulează, de asemenea, strategii de atac suplimentare, în parte pentru că rutele normale prin intermediul PC-urilor client care rulează Windows 2000, Windows XP sau Windows Vista nu sunt disponibile.

Astăzi, Maarten Van Horenbeeck, unul dintre analiștii din cadrul Internet Storm Center al Institutului SANS, a remarcat că serverele de servicii de găzduire care rulează Windows 2003 Server pot fi expuse riscului deoarece, deși rulează servicii DNS, precum și altele – HTPP și FTP, de exemplu – de obicei nu sunt protejate de un firewall separat. Serverele Active Directory pot fi, de asemenea, în pericol, a declarat Van Horenbeeck.

„Serverele Active Directory găzduite în rețeaua internă sunt adesea combinate cu funcționalitatea DNS”, a declarat Horenbeeck într-o notă de cercetare ISC. „Aceste mașini sunt de obicei mai puțin protejate decât serverele DNS din DMZ, iar alte funcționalități provizionate pot necesita ca porturile RPC să fie disponibile. Dacă serverul Active Directory este compromis, jocul este practic terminat.”

Microsoft a declarat de mai multe ori că lucrează la un patch, dar nu s-a angajat încă la o dată de lansare. Următoarea zi de patch-uri programată de companie este peste trei săptămâni, pe 8 mai.

.