Os analistas de segurança da Symantec detectaram um aumento súbito de tráfego na porta 445, usada comumente em ataques de rede. No dia 23/06 um exploit foi publicado no site do FrSIRT — Time Francês de Resposta a Incidentes de Segurança — para se aproveitar da falha presente no SMB — Server Message Block — detalhada no boletim MS05-11, que roda na porta 445.

É importante lembrar que a falha é totalmente separada daquela que é detalhada no boletim MS05-27, que também afeta o SMB, e foi lançada juntamente com outros patches esse mês.

O patch do MS05-11 foi lançado em fevereiro, portanto foram quase três meses desde o dia em que a falha foi publicada, o que significa que muitos sistemas já possuem o patch instalado. Em comparação, falhas como a explorada pelo Sasser, tiveram seus exploits publicados em torno de um mês após a publicação da falha, dando menos tempo para a instalação do patch.

Apesar do aumento da atividade na porta 445 e a publicação do exploit, os especialistas do Internet Storm Center acreditam que não há motivo para pânico e que provavelmente o aumento no tráfego detectado pela Symantec foi gerado por bots.

Através do gráfico da porta 445 é possível ver que houve um aumento súbito em um dia, mas a atividade voltou ao normal posteriormente e nada de anormal foi visto.

No dia 21/06, o FrSIRT também publicou um exploit para a falha MS05-30. Essa falha só pode ser explorada se o usuário acessar um servidor de notícias malicioso utlizando Outlook Express, portanto apresenta um risco menor do que a falha presente no SMB.

Escrito por Altieres Rohr

Editor da Linha Defensiva.