Criminosos começaram a procurar servidores Windows que tenham o software de segurança ServerProtect da TrendMicro instalado. A intenção é invadir esses servidores através desta aplicação. O serviço de alertas DeepSight da Symantec monitorou um grande aumento no tráfego da porta TCP 5168 relacionada à chamada de procedimento remoto (RPC) do ServerProtect. "Este tráfego pode indicar ataques para explorar sistemas vulneráveis com falhas recém descobertas", afirmou o analista Pukhraj Singh, num alerta da Symantec lançado para consumidores corporativos.
A Symantec afirmou também que seus honeypots (sistemas 'plantados' para atrair hackers) captaram ao menos um ataque bem-sucedido contra o ServerProtect. Recentemente a Central de Tempestades da Internet (ISC) também verificou o aumento de tráfego na porta TCP 5168. A ISC já está analisando amostras de dados que navegaram pela porta, para descobrir se há algum código de ataque.
A TrendMicro atualizou o ServerProtect há quase um mês, mas as falhas só foram descobertas publicamente no início da semana, quando a VeriSign iDefense publicou detalhes sobre as mesmas. A iDefense reportou as falhas para a TrendMicro em Junho, e pelo menos uma das falhas foi parcialmente descoberta por pesquisadores que receberam recompensas do programa de 'dinheiro por falhas' da companhia. A TrendMicro também um alerta com base nos relatórios recebidos, pedindo que as empresas atualizem o ServerProtect o mais rápido possível.
Mais informações: ComputerWorld
