| De ontdekking dat poorten 135 en 137 open zijn op een doelsysteem duidt sterk op de aanwezigheid van Microsoft Windows services en wijst mogelijk op kwetsbaarheden. Laten we eens kijken wat deze poorten betekenen:
* Poort 135 (RPC-eindpunttoewijzer): Dit is de primaire poort voor de Remote Procedure Call (RPC)-service in Windows. RPC is een mechanisme waarmee applicaties op verschillende computers met elkaar kunnen communiceren. Een open poort 135 betekent dat het systeem RPC-verzoeken accepteert, waardoor mogelijk talloze services beschikbaar komen, afhankelijk van welke andere services actief zijn en geconfigureerd zijn om RPC te gebruiken. Dit is een aanzienlijk beveiligingsprobleem omdat aanvallers het kunnen gebruiken om andere open services op te sommen en mogelijk kwetsbaarheden binnen die services te misbruiken.
* Poort 137 (NetBIOS-naamservice): Deze poort wordt gebruikt door de NetBIOS Name Service, ook voornamelijk geassocieerd met Windows. NetBIOS is een netwerkprotocol dat wordt gebruikt om computernamen om te zetten in IP-adressen op een lokaal netwerk. Hoewel het op zichzelf geen groot veiligheidsrisico vormt, duidt de aanwezigheid ervan vaak op een Windows-systeem en helpt het aanvallers hun doelwit te bevestigen. Bovendien kan het worden gebruikt in combinatie met andere tools om meer informatie over het netwerk te verzamelen.
Implicaties voor een aanvaller:
Door deze poorten open te vinden, kan een aanvaller:
* Services opsommen: Gebruik tools zoals `rpcinfo` (op Linux/Unix-systemen) of andere RPC-opsommingstools om andere services te ontdekken die op het systeem draaien en die RPC gebruiken. Hierdoor kunnen services met bekende kwetsbaarheden bloot komen te liggen.
* Lanceer aanvallen op specifieke services: Zodra andere services zijn geïdentificeerd, kan de aanvaller bekende kwetsbaarheden binnen die services onderzoeken en misbruiken (bijvoorbeeld kwetsbaarheden in specifieke RPC-gebaseerde applicaties zoals Samba, als deze op een niet-Windows-systeem draaien).
* Netwerkinformatie verkrijgen: Poort 137 kan worden gebruikt in combinatie met andere tools om het netwerk in kaart te brengen en andere apparaten te identificeren.
* Voer verdere verkenning uit: Deze eerste ontdekking helpt de aanvaller zijn aanvalsstrategie te verfijnen.
Mitigatie:
Systeembeheerders moeten:
* Onnodige services uitschakelen: Voer alleen de services uit die nodig zijn voor de werking van het systeem.
* Houd systemen gepatcht: Pas regelmatig beveiligingsupdates toe om bekende kwetsbaarheden in RPC en andere services te patchen.
* Netwerktoegang beperken: Gebruik firewalls om de toegang tot poort 135 en 137 vanaf niet-vertrouwde netwerken te beperken.
* Inbraakdetectie-/preventiesystemen implementeren (IDS/IPS): Deze kunnen kwaadaardige activiteiten die op deze poorten zijn gericht, detecteren en blokkeren.
* Privilegeprincipe: Voer services uit met de minimaal noodzakelijke machtigingen.
Kortom, de ontdekking dat de poorten 135 en 137 open zijn, is een belangrijke veiligheidswaarschuwing en moet onmiddellijk worden onderzocht en verholpen. Het vergroot de kans op een succesvolle aanval aanzienlijk. |
