En kraftig ökning av aktiviteten i TCP Port 1025 på Windows-system kan vara ett tecken på att angripare samlar information för en kommande attack mot servrar som inte är patchade, varnade Symantec Corp. i dag.

Symantecs hotnätverk DeepSight har sett en ”ganska stor” ökning av antalet sensorer som har registrerat händelser på TCP-port 1025, säger Mimi Hoang, Group Product Manager vid företagets säkerhetsresponsteam. ”En normal aktivitetsnivå skulle vara cirka 30 IP-adresser, med ett antal händelser under 100”, säger Hoang. ”Men här ser vi 1 400 till 1 500 IP-adresser och mer än 8 000 händelser.”

”En sådan här topp inträffar inte utan anledning”, säger hon.

Hoang vill inte definitivt koppla ihop det med sårbarheten i Windows DNS Server Service som Microsoft bekräftade i torsdags, men hon säger: ”Vi misstänker att det beror på att alla höga portar över 1024 är associerade med Microsofts RPC . Och 1025 är den första öppna port som används av RPC.”

Buggen i Windows 2000 Server och Windows Server 2003 kan utnyttjas genom att skicka ett skadligt RPC-paket via port 105 eller högre. Microsoft har rekommenderat företag att blockera all inkommande oönskad trafik på port 1024 och högre.

”Med tanke på den nyligen inträffade sårbarheten i gränssnittet för fjärrproceduranrop i Microsoft Windows DNS kan den här trafikökningen vara förknippad med skanning och underrättelseinhämtning som syftar till att utvärdera tillgängliga Windows RPC-slutpunkter”, står det i Symantecs varning. ”Trafiken kan också indikera en ökning av exploateringsförsök över TCP 1025, även om detta inte har verifierats när detta skrivs.”

Vid middagstid i dag hade Hoang upprepat att Symantec inte hade bekräftat någon koppling mellan portaktiviteten och faktiska exploateringar.

Exploateringar fortsätter dock att spridas, säger Symantec och andra säkerhetsorganisationer. Immunity Inc. i Miami Beach släppte idag en exploatering för DNS-serverfelet för sitt ramverk för penetrationstestning Canvas, vilket innebär att det totala antalet offentligt publicerade exploateringar uppgår till fem. En av de senaste attackerna rapporteras använda TCP- och UDP-port 445, som Microsoft rekommenderade att blockera så sent som i går.

Forskare föreslår också ytterligare angreppsstrategier, delvis på grund av att de normala vägarna genom klientdatorer som kör Windows 2000, Windows XP eller Windows Vista inte är tillgängliga.

I dag noterade Maarten Van Horenbeeck, en av analytikerna vid SANS Institute’s Internet Storm Center, att hosting-tjänsteservrar som körs med Windows 2003 Server kan vara i riskzonen, eftersom de, även om de kör DNS-tjänster och andra tjänster (t.ex. HTPP och FTP), vanligtvis inte är skyddade av en separat brandvägg. Active Directory-servrar kan också vara i fara, säger Van Horenbeeck.

”Active Directory-servrar som finns i det interna nätverket kombineras ofta med DNS-funktioner”, säger Horenbeeck i en forskningsrapport från ISC. ”Dessa maskiner är vanligtvis mindre skyddade än DNS-servrar i DMZ, och andra funktioner som tillhandahålls kan kräva att RPC-portarna är tillgängliga. Om din Active Directory-server äventyras är spelet i princip över.”

Microsoft har flera gånger sagt att man arbetar på en patch, men har ännu inte fastställt något datum för lanseringen. Företagets nästa planerade patchdag är om tre veckor, den 8 maj.