Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 5/8/2003
Der rapporteres om øget aktivitet i forbindelse med udnyttelse af RPC sårbarheden i Windows, men indtil videre kun få danske anmeldelser.DK*CERT har undersøgt om computere i Danmark blev angrebet. Hidtil er der ikke konstateret unormal høj aktivitet. Der har været nogle få hændelser, men ingen, der entydig kan tilskrives udnyttelse af omtalte sårbarhed.
CERT/CC angiver, at der findes et exploit (udnyttelsesværktøj), der kompromitterer et sårbart system ved udnyttelse af Microsoft RPC DCOM sårbarheden. Hackerværktøjet opretter en bagdør på systemet, som tillader hackeren efterfølgende adgang til maskinen.
Der er publiceret et hackerværktøj der udnytter sårbarheden (Backdoor.IRC.Cirebot) på Symantecs hjemmeside. Programmet installerer en bagdør som lytter på port 57005 og en ftp-server på port 69. Dette tillader en evt. hacker adgang til systemet, herunder muligheden for at downloade uautoriserede programmer til det kompromitterede system.
Der er også indbygget en IRC-klient funktionalitet, som tillader en hacker at få overblik over de kompromitterede systemer og afgive kommandoer til disse feks. til et Denial of Service angreb på udvalgte mål.
Der er ikke endnu konstateret en orm (et selvudbredende program), der udnytter denne sårbarhed. Gevinsten ved at anvende et mere diskret værktøj for hackerne er, at de vil udnytte sårbarheden i ro og mag og opbygge store såkaldte botnet til anvendelse senere.
DK-CERT kan indtil videre melde om lav aktivitet og ganske få anmeldelser i forbindelse med beskrevne sårbarhed. Vi vil dog overvåge situationen og vende tilbage hvis nye oplysninger skulle fremkomme.