Hackers speuren naar lekke WINS-servers

Storm op het internet

06 januari 2005 | Jamie Biesemans Hackers zijn in de voorbije week op zoek gegaan naar Windows-servers die sukkelen met een specifiek lek. Op basis van z'n metingen gelooft het SANS Internet Storm Center dat machines met een lekke Microsoft Windows Internet Naming Service (WINS), een groot risico lopen om gehackt te worden.

Een oplossing voor het ernstige WINS-lek werd al in november bekendgemaakt. Toch zijn er wellicht nog servers die sukkelen met de kwetsbaarheid. Uit vorige incidenten met lekke serversoftware bleek dat serverbeheerders vaak achterliggen met het aanbrengen van patches op hun machines. In het geval van het WINS-lek is de kans daarop groter, omdat Microsoft een work-around als oplossing aanbood en niet een echte softwarepleister. Informatie over de kunstgreep vindt u hier terug.

Dat hackers via geautomatiseerde toepassingen op zoek zijn gegaan naar servers zonder patch voor de WINS-kwetsbaarheid, is een veeg teken. "Als u de WINS-server van uw bedrijf of campus nog niet hebt geactualiseerd, pas dan op", waarschuwt SANS, "dan is het nu hoog tij."

WINS is een stukje software dat draait op servers met Windows NT4.0, 2000 Server of Server 2003. Het dient om via het Internet Protocol pc's op het lokaal netwerk te identificeren. De service werkt onder meer via TCP- en UDP-poorten 42. Een lichtpunt is dat WINS niet standaard aanstaat; beheerders moeten de service activeren, wat in principe niet mag gebeuren bij machines die rechtstreeks aan het internet hangen.

Het is door de verhoogde activiteit op deze poorten dat het SANS Internet Storm Center bewust werd van de malafide speurtocht naar kwetsbare WINS-servers. Sinds vorige week donderdag is er een toename van peilingen naar dergelijke machines, met een piek op nieuwjaarsdag. Lees meer artikels over : wins, server, server 2003, sans

bron: ZDNet