Готовится массированная атака червя? // 06 Ноября 2012

Эксперты встревожены повышением интенсивности сканирования порта, связанного с недавно исправленной уязвимостью Windows.

Резкое повышение интенсивности сканирования порта TCP 445, связанного с исправленной на прошлой неделе ошибкой в Windows Server Message Block (SMB), указывает на то, что хакеры, возможно, готовят массированную атаку червя, утверждает аналитик Gartner Джон Пескатор. "Усиленное сканирование не всегда завершается атакой, но значительно повышает ее вероятность. Я не говорю, что обязательно готовится атака червя, но те, кто медлит с исправлением системы, очень рискуют".

Как грабители, которые стучатся в двери, подыскивая подходящую жертву, интернет-взломщики иногда проверяют случайные компьютеры на предмет доступности определенного сетевого порта, что может служить предвестником атаки. Порт TCP 445 используется блоком SMB, который Windows применяет для обобщения файлов, принтеров, последовательных портов, а также для связи между компьютерами. Недавно Microsoft в рамках своего ежемесячного цикла исправлений выпустила поправку для "критической" ошибки в этом протоколе.

В прошлом усиленное сканирование портов предшествовало крупным эпидемиям червей, уверяет Пескатор. Альфред Хьюгер, старший директор Symantec Security Response, согласен, что, возможно, готовится атака червя. Оба советуют пользователям как можно скорее пропатчить свои системы.

Однако Пескатор и Хьюгер отмечают также, что после объявлений Microsoft об уязвимостях часто наблюдается сканирование портов хакерами. Более того, в данном конкретном случае уязвимость Windows использовать очень нелегко, так что сканирование может вообще ни о чем не говорить.

Symantec заметила всплеск активности по сканированию порта TCP 445 на прошлой неделе, но с тех пор прощупывание этого порта вернулось к нормальному уровню. "Я не думаю, что нам надо бить тревогу", - сказал Хьюгер.

Microsoft ничего не известно об активных попытках воспользоваться какой-либо уязвимостью через порт TCP 445. Представитель компании сообщил также, что она не получала никаких сообщений о вредоносной деятельности, связанной с уязвимостью SMB.

Источник: @Astera