Een grote toename van activiteiten gericht op TCP-poort 1025 op Windows-systemen kan een teken zijn dat aanvallers informatie verzamelen voor een komende aanval op ongepatchte servers, zo waarschuwde Symantec Corp. vandaag.

Symantec’s DeepSight-bedreigingsnetwerk heeft een “vrij aanzienlijke” toename gezien van het aantal sensoren dat gebeurtenissen op TCP-poort 1025 heeft geregistreerd, zei Mimi Hoang, groepsproductmanager bij het security response-team van het bedrijf. “Een normaal activiteitsniveau zou ongeveer 30 IP-adressen zijn, met een aantal gebeurtenissen onder de 100,” zei Hoang. “Maar hier zien we 1.400 tot 1.500 IP-adressen en meer dan 8.000 gebeurtenissen.”

“Een piek als deze gebeurt niet zonder een reden,” zei ze.

Hoang wilde het niet definitief in verband brengen met de Windows DNS Server Service kwetsbaarheid die Microsoft afgelopen donderdag erkende, maar ze zei wel: “We vermoeden dat het komt omdat elke hoge poort boven 1024 wordt geassocieerd met Microsoft’s RPC . En 1025 is de eerste open poort die door RPC wordt gebruikt.”

De bug in Windows 2000 Server en Windows Server 2003 kan worden uitgebuit door een kwaadaardig RPC-pakket te verzenden via poort 105 of hoger. Microsoft heeft zelfs aanbevolen dat bedrijven al het inkomende ongevraagde verkeer op poorten 1024 en hoger blokkeren.

“Gezien de recente Microsoft Windows DNS Remote Procedure Call Interface Vulnerability, kan deze verkeerspiek in verband worden gebracht met het scannen en verzamelen van informatie gericht op het beoordelen van beschikbare Windows RPC-eindpunten,” aldus de waarschuwing van Symantec. “Het verkeer kan ook wijzen op een toename van exploitpogingen via TCP 1025, hoewel dit op het moment van dit schrijven nog niet is geverifieerd.”

Tegen de middag van vandaag had Hoang herhaald dat Symantec geen verband had bevestigd tussen de poortactiviteit en daadwerkelijke exploits.

Exploits blijven zich echter verspreiden, aldus Symantec en andere beveiligingsorganisaties. Immunity Inc. in Miami Beach heeft vandaag een exploit voor de DNS-serverbug vrijgegeven voor zijn Canvas penetratietestframework, waarmee het totaal van publiekelijk gepubliceerde exploits op vijf komt. Een recente exploit maakt naar verluidt gebruik van TCP en UDP poort 445, die Microsoft pas gisteren heeft aanbevolen te blokkeren.

Onderzoekers stellen ook aanvullende aanvalsstrategieën voor, deels omdat de normale routes via client-pc’s met Windows 2000, Windows XP of Windows Vista niet beschikbaar zijn.

Vandaag merkte Maarten Van Horenbeeck, een van de analisten in het Internet Storm Center van het SANS Institute, op dat hosting service servers met Windows 2003 Server gevaar kunnen lopen omdat ze, hoewel ze naast DNS-diensten ook andere diensten draaien — HTPP en FTP, bijvoorbeeld — meestal niet door een aparte firewall worden afgeschermd. Active Directory-servers kunnen ook gevaar lopen, aldus Van Horenbeeck.

“Active directory-servers die op het interne netwerk worden gehost, worden vaak gecombineerd met DNS-functionaliteit,” aldus Horenbeeck in een onderzoeksnotitie van ISC. “Deze machines zijn meestal minder beschermd dan DMZ DNS-servers, en andere functionaliteit kan vereisen dat de RPC-poorten beschikbaar zijn. Als je active directory server wordt gecompromitteerd, is het spel in wezen voorbij.”

Microsoft heeft meerdere malen gezegd dat het werkt aan een patch, maar het heeft zich nog niet vastgelegd op een releasedatum. De volgende geplande patchdag van het bedrijf is over drie weken, op 8 mei.