Nieuws
image

Windows vaakst aangevallen via poort 135

woensdag 29 oktober 2008, 09:53 door Redactie, 9 reacties

Bijna de helft van alle aanvallen op Windows systemen via het internet verloopt via poort 135, zo blijkt uit cijfers van Microsoft. In 43% van de gevallen proberen aanvallers de aan deze poort gekoppelde RPC Service te misbruiken. Poort 445, Microsoft Directory Service, is met twintig procent een goede tweede. De meeste aanvallen die Windows-gebruikers krijgen te verduren zijn afkomstig uit Roemenië, China en de Verenigde Staten. De aanvallen op de RPC Service hebben niets te maken met het recent gepatchte worm-lek in Windows, aldus Andrei Saygo van het Microsoft Malware Protection Center.

Ook oude technieken zoals het sturen van spamberichten naar de Windows Messenger Service zijn nog steeds bij spammers in trek, wat ook geldt voor het uitvoeren van FTP woordenboek-aanvallen. "Deze kunnen minuten duren en in sommige gevallen zien we aanvallen met meer dan 10.000 wachtwoorden", zegt Saygo. De meest gebruikte wachtwoorden bij deze aanvallen zijn geboortedata, namen van strip- en filmhelden en zelfs namen van internetbrowers komen voor. Ook wachtwoorden als “q1w2e3r4” trof de softwaregigant aan.

Een speciale vermelding was weggelegd voor de vijf jaar oude Slammer worm. Ondanks de leeftijd is de malware nog altijd actief. Als laatste waarschuwt Microsoft bedrijven en gebruikers die VoIP en PBX services draaien. "Hoewel het aantal aanvallen nog laag is, baart dit wel zorgen."

Reacties (9)
29-10-2008, 10:08 door Lamaar
Ik heb daar echt nog nooit last van gehad. Maar kijk maar eens op avira.com wat er voor bescherming in de Security Suite zit. Dan zie je waarom niet. Nou is het wachten tot Microsoft zulke beschermingen nou eindelijk ook eens in Windows inbouwt. Het kan wel, dat is duidelijk.
29-10-2008, 10:44 door Darkman
Ik heb ooit met [url=http://www.firewallleaktester.com/wwdc.htm]Windows Worms Doors Cleaner[/url] de boel dicht gegooid, dus ook poort 135.
Ik vraag me nu alleen af of ik kwetsbaar was voor het "worm lek" van vorige week.
29-10-2008, 12:06 door Bitwiper
Door LamaarIk heb daar echt nog nooit last van gehad. Maar kijk maar eens op avira.com wat er voor bescherming in de Security Suite zit. Dan zie je waarom niet. Nou is het wachten tot Microsoft zulke beschermingen nou eindelijk ook eens in Windows inbouwt. Het kan wel, dat is duidelijk.
Ik weet niet hoe ver die Avira Security Suite gaat, maar van oudsher heb je niets aan virusscanners omdat die file-gebaseerd werken, hooguit een firewall die netwerkpakketten op exploits analyseert kan bescherming bieden tegen 'aanvallen' op poorten als 135 (udp en tcp). Het probleem daarvan is echter dat het netwerkverbindingen onacceptabel traag kan maken.

M.i. moet Microsoft niet de door jou genoemde beveiligingen toevoegen, maar by default zorgen dat PC's op geen enkele poort luisteren (dan heb je de one-way windows firewall ook niet meer nodig), en gebruikers via wizards alleen die services laten aanzetten die ze echt nodig hebben, en by default zodanig (IP-range restricties) dat poorten waarvan Microsoft zelf herhaaldelijk aangeeft (zie de faq-workarounds in bijv. [url=http://www.microsoft.com/technet/security/bulletin/MS03-039.mspx]MS03-039[/url]) dat ze niet aan het Internet moeten worden blootgesteld, alleen vanaf een beperkt aantal lokale PC's of printers e.d. toegankelijk zijn.

Overigens zijn dit soort aanvallen alleen een probleem voor PC's met een publiek IP-adres, of die aan grotere private netwerken hangen waarop 'reizende' notebooks worden aangesloten of PC's zijn aangesloten die op andere wijze zijn gecompromitteerd (en als doorgeefluik van malware worden gebruikt). Als je thuis met een paar PC's achter een NAT-router zit en je PC's gepatched houdt heb je weinig te vrezen voor dit soort aanvallen.
29-10-2008, 13:13 door toor
Als ik wat grep/awk/sed/uniq op log files van een aantal tientallen machines over een week of 2, kom ik op de volgende stats uit (ik zoek op de porten 135,137,139, 445, 1433, 1434 en 3398):

# prot poort
-------------------
7186 UDP 137
2023 TCP 445
1851 TCP 139
692 TCP 135
325 UDP 1434
312 TCP 1433
24 TCP 1434
22 TCP 3398
21 TCP 137

toch flink verschil..
29-10-2008, 13:33 door Eerde
Poort 135 was toch de favo voor de w32.blaster vroegah ?
29-10-2008, 14:03 door SirDice
De grote hamvraag is, wat wordt er verstaan onder een "aanval". Is het maken van een connectie al voldoende om als aanval gerekend te worden?

Toor, in jouw lijstje, zijn dit gewoon geblokkeerde connecties naar die poorten? Als je een X aantal windows machines in je netwerk hebt is de kans vrij groot dat je redelijk wat verkeer ziet op poort udp/137. Dat zijn geen aanvallen maar is normaal windows gedrag (name resolving; WINS broadcast).
29-10-2008, 14:42 door Bitwiper
@Toor: een aardig lijstje met zowel status als trend van de 5 meest 'aangevallen' poorten vind je [url=http://www.mynetwatchman.com/]hier[/url].
29-10-2008, 15:29 door Anoniem
ik heb een PIII volgestopt met 256 mb ramm , een 10gb hd , 4 netwerk kaarten , en Smoothwall (http://www.smoothwall.org/) erop geknald.
Bevalt me best , vooral omdat ik via Spamhaus (http://www.spamhaus.org/) 80.000 ip(-range)s aan IP-blok lijst heb toegevoegd , waardoor er zowieso geen connectie word toegestaan vanaf of naar bekende Bot-nets enz.
Met gamen heb ik een iets hogere ping , maar neem dat graag voor lief.
05-11-2008, 10:02 door toor
Door SirDiceDe grote hamvraag is, wat wordt er verstaan onder een "aanval". Is het maken van een connectie al voldoende om als aanval gerekend te worden?

Toor, in jouw lijstje, zijn dit gewoon geblokkeerde connecties naar die poorten? Als je een X aantal windows machines in je netwerk hebt is de kans vrij groot dat je redelijk wat verkeer ziet op poort udp/137. Dat zijn geen aanvallen maar is normaal windows gedrag (name resolving; WINS broadcast).

dat weet ik, maar al deze denied connecties komen over het internet en zijn derhalve geen broadcasts..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search