Symantec ser spik i farliga Microsoft-attacker

Symantec varnar av ett skarpt hopp i online-attacker som verkar vara inriktade på en nyligen patched bugg i Microsofts Windows-operativsystem, en analys som några andra säkerhetsföretag ifrågasatte fredagen.

Symantec höjde sin Threat Con-säkerhetsvarningsnivå från en till två på grund av attacker, med två betecknar "ökad alertness". Men andra leverantörer, inklusive Arbor Networks och McAfee, sa att de inte såg någon sådan aktivitet.

De attacker som Symantec upptäckte syftade till ett fel i den Windows Server-tjänst som Microsoft säger kan utnyttjas för att skapa en självkopierande mask attack. I slutet av förra månaden tog Microsoft det ovanliga steget att rusa ut en nödsituation för felet efter att det såg ett litet antal attacker på nätet som utnyttjade det.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Sedan dess har säkerhetsexperter och Microsoft sagt att attackerna inte har varit utbredd, men det kan nu förändras, enligt Symantec.

Säkerhetsleverantören sa att den hade sett en "dramatisk ökning" i attacker riktade mot TCP Överföringskontrollprotokoll) port 445. En TCP-port är ett nummer som är tilldelat till datapaket som skickas över Internet för att hjälpa datorerna veta vilket program som ska behandla informationen. Webbläsare, till exempel, använder vanligtvis port 80. Port 445 är en av två portar som används för att ansluta till Windows Server-tjänsten.

Denna aktivitet verkar vara relaterad till exploatering av Windows Server-bugg, sa Symantec i en anteckning på sin webbplats.

De flesta brandväggar blockerar port 445, liksom den andra porten som används av Server Service, port 139, men Symantec sa att Windows-användare fortfarande skulle se till att de har använt MS08-067-patchen för bug.

Anfall på felet hade tidigare fokuserat på kinesiska versioner av Windows, men de senaste attackerna riktar sig mot engelska versioner, säger Symantec.

Arbor Networks bestrider Symantecs tolkning och säger "vi ser inte uppgången, inte på TCP-porten 445 och inte på TCP-porten 139. Vi ser inte den här månaden i MS08-067-attacker som skulle ge upphov till några larm för oss, "i en fredags bloggpostning.

Både McAfee och Microsoft echoed dessa känslor.

"Microsoft fortsätter att se begränsade, riktade attacker som försöker exp lita på denna sårbarhet, "Microsoft sa i ett uttalande.

Å andra sidan rapporterade Research and Education Networking Information Sharing and Analysis Center, som övervakar forsknings- och universitetsnätverk, att det hade sett en bump i port 445-aktivitet.

Säkerhetsexperter säger att om brottslingar riktar sig mot specifika nätverk med sina attacker, kan det stå för avvikelsen.