News

Other articles

Wednesday 11 November 2009
Audio Podcast  Mike Osman: Qualifications for Security Professionals

Tuesday 10 November 2009
Article  Boost for DLP, but encryption tech lagging say execs

Friday 6 November 2009
Audio Podcast  Gerry O'Neill: Career Path to CISO Part 3

Thursday 5 November 2009
Article  SNIA standard aims to resolve cloud security issues

Thursday 5 November 2009
Audio Podcast  Gerry O'Neill: Career Path to CISO Part 2

Wednesday 4 November 2009
Video  Paul Simmonds: Career Path to CISO Part 1

Tuesday 3 November 2009
Article  Lords call for submissions in UK cyber-security debate

Tuesday 3 November 2009
Article  SecurityVibes Cafés open

Saturday 31 October 2009
Audio Podcast  What Every CISO Should Know to Obtain Funding

Friday 30 October 2009
Article  Another nail in the Signature AV coffin?

Wednesday 28 October 2009
Audio Podcast  Malware Filtering of the Future

Wednesday 28 October 2009
In Brief  Mobile security the next battleground, claim analysts

Monday 26 October 2009
Audio Podcast  RFID Risks to Individuals and Corporations.

Thursday 22 October 2009
Audio Podcast  Risk and Privacy Issues from the Internet of Things

In Brief

Utilisateurs de Radmin, soignez vos mots de passe

Written by Jerome Saiz (SecurityVibes)
Published on Thursday 25 June 2009
0 comment(s) | Subnetwork France
 

Le SANS note actuellement une augmentation significative des scans sur le port TCP 4899. Le port est généralement attribué à l'outil d'administration distante Radmin, pour Windows.

Si aucune vulnérabilité exploitable à distance ne semble encore répertoriée, Radmin est toutefois connu pour n'exiger dans sa configuration par défaut qu'un mot de passe à la connexion. Il n'est donc pas exclu qu'il s'agisse ici d'une solide campagne de brute-force contre Radmin.

Il pourrait toutefois aussi s'agir de l'exploitation d'un cheval de Troie qui embarquerait une version pirate de Radmin afin d'ouvrir la porte des machines infectées. Ce ne serait pas la première fois que cet outil est ainsi détourné. Et un petit malin semble d'ailleurs l'avoir fait très récemment si l'on en croit son appel à l'aide sur un forum dédié à la création de chevaux de Troie, daté du 29 mai 2009. La plupart des antivirus détectent cependant déjà Radmin comme outil "potentiellement malvenu", comme ils disent.

Le profil des scans montrés par le SANS pourrait d'ailleurs conforter l'hypothèse du cheval de Troie : un nombre très réduit de sources (le plus faible en un mois) est soudain à l'origine du plus grand nombre de scans du mois : cela laisse imaginer qu'un noyau de pirates, probablement les auteurs du trojan, tentent d'en exploiter au maximum la diffusion.

Il reste bien entendu aussi la possibilité d'un zero-day dans Radmin qui soit... réellement zero-day ! Mais à défaut de confirmation, il ne semble pas inutile de renforcer vos mots de passe si vous utilisez Radmin dans sa configuration par défaut, ou de rechercher d'éventuelles installations sauvages sur votre parc.

Our members have posted 0 comments about this article. Only members can view and submit new comments.
Related contents
Advertising
Related Questions & Answers
Companies
Most commented
Most Popular
+
 
Search
Our RSS Feeds
Subscribe to our RSS feeds for free !
Social Web