Le SANS note actuellement une augmentation significative des scans sur le port TCP 4899. Le port est généralement attribué à l’outil d’administration distante Radmin , pour Windows.

Si aucune vulnérabilité exploitable à distance ne semble encore répertoriée, Radmin est toutefois connu pour n’exiger dans sa configuration par défaut qu’un mot de passe à la connexion. Il n’est donc pas exclu qu’il s’agisse ici d’une solide campagne de brute-force contre Radmin.

Il pourrait toutefois aussi s’agir de l’exploitation d’un cheval de Troie qui embarquerait une version pirate de Radmin afin d’ouvrir la porte des machines infectées. Ce ne serait pas la première fois que cet outil est ainsi détourné. Et un petit malin semble d’ailleurs l’avoir fait très récemment si l’on en croit son appel à l’aide sur un forum dédié à la création de chevaux de Troie, daté du 29 mai 2009. La plupart des antivirus détectent cependant déjà Radmin comme outil « potentiellement malvenu », comme ils disent.

Le profil des scans montrés par le SANS pourrait d’ailleurs conforter l’hypothèse du cheval de Troie : un nombre très réduit de sources (le plus faible en un mois) est soudain à l’origine du plus grand nombre de scans du mois : cela laisse imaginer qu’un noyau de pirates, probablement les auteurs du trojan, tentent d’en exploiter au maximum la diffusion.

Il reste bien entendu aussi la possibilité d’un zero-day dans Radmin qui soit… réellement zero-day ! Mais à défaut de confirmation, il ne semble pas inutile de renforcer vos mots de passe si vous utilisez Radmin dans sa configuration par défaut, ou de rechercher d’éventuelles installations sauvages sur votre parc.