image

Toename scans op poort 445 teken van naderende aanval

woensdag 22 juni 2005, 14:05 door Redactie, 11 reacties

Een plotselinge toename van het aantal scans op poort 445 kan erop duiden dat er mogelijk een aanval zal plaatsvinden. Bedrijven moeten dan ook onmiddelijk stappen ondernemen om ervoor te zorgen dat hun Windows poorten beveiligd zijn. Volgens Gartner zou TCP poort 445, dat geassocieerd wordt met het Windows Server Message Block protocol, misbruikt kunnen worden voor het exploiten van een lek in het protocol, waar Microsoft onlangs een patch voor uitbracht.

Aanvallers zouden mogelijk de patch van Microsoft voor het SMB lek "reverse-engineered" hebben en een exploit hebben geschreven die via het veel gebruikte SMB protocol verspreid kan worden. "Het toegenomen "sniffen" op poort 445 is een serieus probleem voor security managers en zou op een naderende aanval kunnen duiden" zegt John Pescatore van Gartner. Naast het updaten raadt het onderzoeksbureau aan om poort 445 te blokkeren.

Reacties (11)
22-06-2005, 15:07 door Anoniem
en wat zegt ISC hiervan...
22-06-2005, 15:19 door Anoniem
Op 'http://isc.sans.org/port_details.php?port=445' zie ik
niet echt iets speciaals.

Koen
22-06-2005, 15:29 door SirDice
Een plotselinge toename van het aantal scans op poort
445 kan erop duiden dat er mogelijk een aanval zal
plaatsvinden.
Een toename duidt er op dat de aanval al begonnen is...

Het toegenomen "sniffen" op poort 445 is een
serieus probleem voor security managers en zou op een
naderende aanval kunnen duiden" zegt John Pescatore van
Gartner.
Klok? Klepel? Kerktoren? Meneer Pescatore bedoelt
waarschijnlijk het "scannen"... Schoenmaker blijf bij uw
leest...
22-06-2005, 15:36 door SirDice
Overigens laat DShield nu niet echt een duidelijk steiging zien:
http://www.dshield.org/port_report.php?port=445
22-06-2005, 16:03 door Anoniem
Gewoon file en bestands-deling uitzetten of een firewall
gebruiken.Ziezo probleem uit de wereld geholpen.Gevaarlijker
zijn al die extras zoals scrubmod en eigen mods van
onbekende game servers die je moet instaleren alvorens je
online kunt gaan gamen.
22-06-2005, 16:38 door Redactie
bedoelt waarschijnlijk het "scannen"
Hij heeft het toch echt over sniffen.
22-06-2005, 16:45 door SirDice
Door Redactie
bedoelt waarschijnlijk het "scannen"
Hij heeft het toch echt over sniffen.
Klopt. Zelfs het artikel op de Gartner site zelf heeft het
over sniffen.. Vandaar de schoenmaker opmerking ;-)

An apparent increase in scanning activity may signal an impending malicious-code attack exploiting a critical Windows vulnerability. Take immediate steps to ensure that the affected Windows port is secure.
En een stukje verder:
Analysis

The apparent increase in "sniffing" on Port 445 is a serious concern for enterprise security managers, because it may indicate an impending mass malicious-code attack. Such attacks typically follow a highly predictable timeline:
Bron: http://www.gartner.com/DisplayDocument?doc_cd=129313

Meneer Pescatore kent schijnbaar het verschil niet tussen scannen en sniffen.
22-06-2005, 17:02 door Anoniem
ik krijg al jaren lang continu 'scans' op poort 445 (en op
poort 135)

het is niet significant meer geworden ineens hier ofzo
22-06-2005, 17:34 door Anoniem
waar Microsoft onlangs een patch voor uitbrachtp

Dus heeft iedere beheerder de patch toegepast om onnodig risico te
voorkomen.

En of het nou 'scannen' , 'sniffen' etc. mag heten, het is geschreven om de
aandacht van de beheerders te krijgen om zodoende een 'naderende'
aanval grotendeels in de kiem te smoren.

Op en aanmerkingen over of aan de schrijver voegt niets toe, de
schoenmaker blijft bij zijn leest want deze is jounalist en geen security
specialist en doet zich ook niet als zodanig voorkomen. (zoals sommige wel
doen)
22-06-2005, 18:16 door Bitwiper
Op woensdag 22 juni 2005 15:36 schreef SirDice:

> Overigens laat DShield nu niet echt een duidelijk
> steiging zien:
> http://www.dshield.org/port_report.php?port=445

Nee, maar zoals helaas wel vaker ligt de DShield data inname
kennelijk weer op z'n gat. Als je op dit moment op die page
(maar ook andere zoals poort 80) voor de laatste 36 uur
kiest krijg je helemaal geen data, en normaal gesproken had
de 22e juni er in de langere overzichten ook al bij gestaan.

Betrouwbaarder (maar met minder details) is op zo'n moment
http://www.mynetwatchman.com/. De status daar
zojuist, onder "Day's share":

tcp/139: 44.6%
tcp/445: 13.7%
tcp/135: 9.5%
tcp/1433: 7.1%
tcp/4899: 4.7%

Ook hier niks bijzonders dus.

Erik van Straten
23-06-2005, 13:29 door SirDice
Door Anoniem
Op en aanmerkingen over of aan de schrijver voegt niets toe, de
schoenmaker blijft bij zijn leest want deze is jounalist en
geen security
specialist en doet zich ook niet als zodanig voorkomen.
(zoals sommige wel
doen)
Gartner houdt zich voornamelijk bezig met markt onderzoeken.
Meneer Pescatore is absoluut geen journalist maar
onderzoeker. Klik maar op z'n naam bovenaan de "advisory".
Maar meneer slaat de plank volledig mis. Hij 'ziet' een
steiging die diverse gerenomeerde security organisaties niet
zien. Bovendien haalt'ie kreten en termen door elkaar. En
voor iemand met 28 jaar ervaring in computers, netwerken en
informatie beveiliging mag je toch verwachten dat'ie weet
hoe dingen heten, niet?

Dus wat mij betreft mag Gartner zich gewoon weer bezig houden met markt onderzoeken. En laat de security advisories over aan de mensen die zicht hebben op wat er werkelijk gebeurd en weten waar ze het over hebben.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.