Les premiers assauts sur le port 1025 tentant d'exploiter la faille DNS découverte il y a quelques jours ont été repérés.
Les premiers assauts sur le port 1025 tentant d'exploiter la faille DNS découverte il y a quelques jours ont été repérés.
Des chercheurs et éditeurs en sécurité informatique signalent depuis hier une recrudescence de l'activité des pirates de la Toile autour de la vulnérabilité «Zero-day» dans le service Windows DNS.
Cette nouvelle confirme que les voyous du Web sont à la recherche des systèmes vulnérables. Rappelons que cette vulnérabilité permet à un pirate de prendre le contrôle des systèmes Windows Server 2000 et Server 2003.
Les cybercriminels utilisent une faille encore non corrigée dans certaines versions du logiciel Windows, indique Microsoft dans une alerte publiée sur son site.
Rappelons que le DNS (système de noms de domaines) permet d'établir une correspondance entre une adresse IP et un nom de domaine et de trouver une information à partir d'un nom de domaine. Les attaques signalées par Microsoft se produisent en envoyant des données malveillantes à ce service.
McAfee par l'intermédiaire de ces laboratoires AvertLabs indique qu'une variante du ver Nirbot que l'on nomme également Rinbot, essaye d'exploiter cette vulnérabilité en balade sur la Toile.
Dans une note publiée sur son blogue, le chercheur en virus Craig Schmugar indique que le ver («botworm») était «contrôlé via un canal privé d'IRC (Internet Relay Chat) ce qui permet à un attaquant de prendre le contrôle à distance de l'ordinateur de sa cible.» Enfin, l'éditeur précise qu'il existe certainement d'autres variantes de NirBot en circulation.
Ces nouveaux vers scannent le réseau à la recherche de serveurs vulnérables. Une fois que la cible a été identifiée, les pirates essayent de prendre le contrôle de la machine.
De son côté, Symantec a lancé une alerte le mardi 17 avril après avoir constaté une augmentation rapide des scans TCP/UDP sur le Port 1025. Le premier port utilisé par le protocole RPC de Windows (Remote Procedure Call).
Le bogue dans Windows 2000 Server et dans Windows Server 2003 que Microsoft a confirmé, peut être exploité en envoyant un paquet RPC sur le port 1025 (ndlr : ou au dessus) permettant de faire des appels de procédures sur un ordinateur distant à l'aide d'un serveur d'application pour infecter un système.
Pour sa part le SANS Institute Internet Storm Center, a confirmé l'information donnée par les éditeurs de sécurité : «Nous avons également relevé une augmentation de l'activité du ver Rinbot qui cherche à communiquer via le port 1025/tcp. Une fois qu'il est connecté, il essaye de lancer une requête Windows 2000 DnsservQuery, de façon à exploiter la vulnérabilité DNS RPC.»
Microsoft reconnaît qu'il y a un regain d'activité des pirates autour de cette faille et recommande le blocage du port 1025 via le pare-feu et de désactiver la fonctionnalité RPC des serveurs DNS.
À lire aussi:
- Microsoft lance une alerte sur une faille DNS