Experts vrezen een grootschalige aanval via dns-lek

Uit meetgegevens van Symantec blijkt dat het aantal scans op poort 1025 meer dan vijftig keer hoger is dan normaal. Dit kan erop duiden dat aanvallers zich voorbereiden op een aanval via een recent ontdekt lek in de Windows DNS Server Service, zo stelt de beveiliger.

Volgens de beveiligingsexperts wordt er doorgaans vanaf zo'n 30 unieke ip-adressen aan poort 1025 gerammeld. Dat is aantal is de afgelopen dagen echter gestegen tot zo'n 1500.

"Een stijging zoals deze gebeurt niet zonder reden", zegt Mimi Hoang van Symantec, die overigens niet hard durft te stellen dat dit daadwerkelijk een voorbode is van een aanval via de Windows DNS Server Service.

De kans is echter meer dan aanwezig, redeneert Hoang. "We verwachten van wel omdat elke poort boven de 1024 wordt geassocieerd met Microsofts rpc-protocol (remote procedure call) en 1025 de eerste open poort is die door rpc wordt gebruikt."

De eerste exploits om het vorige week ontdekte 0day-lek in de dns-service van Windows 2000 Server (SP4) en Windows Server 2003 te misbruiken, doken afgelopen weekeinde al op.

Inmiddels is bekend dat ook de huidige bèta van Longhorn Server, Windows Small Business Server 2000 en Small Business Server 2003 vatbaar zijn voor het lek.

Microsoft zegt hard te werken aan een patch. Het is niet bekend of deze beveiligingsupdate tussentijds zal worden vrijgegeven of, als deze op tijd klaar is, over drie weken wordt vrijgegeven bij de maandelijkse patchdag van mei.

De softwarefabrikant adviseert beheerders ondertussen om het register van de server zodanig aan te passen dat beheer van afstand via rpc niet langer mogelijk is.

Bron: Techworld