Une porte dérobée dans le serveur Web IIS de Microsoft, préviennent les chercheurs de Kaspersky

Des cybercriminels mettent en place une porte dérobée dans des installations du serveur Web Internet Information Services (IIS) de Microsoft qui n’est pas détectée par certains services d’analyse de fichiers en ligne, selon des chercheurs de Kaspersky.

Image : Getty

Ils avisent également que les serveurs IIS doivent faire l’objet  « d’un processus d’investigation complet et dédié » pour détecter d’éventuelles compromissions.

Surnommée SessionManager, la porte dérobée est un module IIS de code natif malveillant qui peut traiter des requêtes HTTP légitimes qui sont continuellement envoyées au serveur.

Selon le rapport, les pirates exploitent une vulnérabilité de type ProxyLogon pour insérer le module. ProxyLogon est le nom de la vulnérabilité CVE-2021-26855 sur Microsoft Exchange Server qui permet à un attaquant de contourner l’authentification et de se faire passer pour l’administrateur.

« L’insertion d’un module IIS en tant que porte dérobée permet aux pirates de maintenir un accès persistant, résistant aux mises à jour et relativement furtif à l’infrastructure informatique d’une organisation ciblée ; que ce soit pour collecter des courriels, mettre à jour d’autres accès malveillants ou gérer clandestinement des serveurs compromis qui peuvent être exploités comme infrastructure malveillante », ont déclaré les chercheurs de Kaspersky dans le rapport publié la semaine dernière.

SessionManager a été utilisé contre des organisations non gouvernementales (ONG), des organisations du secteur public, des installations militaires et industrielles en Afrique, en Amérique du Sud, en Asie, en Europe, en Russie et au Moyen-Orient, depuis au moins mars 2021.

Ce n’est que le dernier d’un certain nombre de modules IIS malveillants que les chercheurs ont découverts. En décembre, Kaspersky en avait signalé un baptisé Owowa parce qu’il vole les informations d’identification et permet l’exécution de commandes à distance à partir de ce qui s’appelait alors Outlook Web App (OWA) et qui est maintenant connu sous le nom d’Outlook sur le Web.

Les modules malveillants traitent des requêtes HTTP apparemment légitimes mais spécifiquement conçues des cybercriminels, le cas échéant, déclenchent des actions basées sur les instructions cachées des opérateurs puis transmettent de manière transparente la requête au serveur pour qu’elle soit traitée comme n’importe quelle autre requête. Par conséquent, ces modules ne sont pas facilement repérables par les pratiques de surveillance habituelles : ils n’initient pas nécessairement des communications suspectes vers des serveurs externes, ils reçoivent des commandes via des requêtes HTTP vers un serveur qui est spécifiquement exposé à de tels processus et leurs fichiers sont souvent placés dans des dossiers insoupçonnés qui contiennent beaucoup d’autres fichiers légitimes.

SessionManager offre trois fonctionnalités qui, lorsqu’elles sont combinées, en font une porte dérobée de faible poids à accès initial persistant, indique le rapport :

  • Lire, écrire et supprimer des fichiers arbitraires sur le serveur compromis.
  • Exécuter du code arbitraire à partir du serveur compromis, également appelé « exécution de commandes à distance ».
  • Établir des connexions à des points de terminaison de réseau arbitraires qui peuvent être atteints par le serveur compromis, ainsi que lire et écrire dans ces connexions.

« Nous ne saurions trop insister sur le fait que les serveurs IIS doivent subir un processus d’investigation complet et dédié en raison de la gigantesque opportunité que les vulnérabilités de type ProxyLogon a exposée », déclare Kaspersky.

Pour plus de détails, l’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Lire aussi :

Un ver se propage via des clés USB infectées, prévient Microsoft

Un palmarès canadien des escroqueries en ligne

Piratage de thèmes et modules pour WordPress développés par AccessPress

Adaptation et traduction française par Renaud Larue-Langlois

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à hsolomon@soloreporter.com.

Articles connexes

Une étude révèle que Microsoft domine la fidélité à la marque pour les appareils de productivité

Plume, une plate-forme de logiciel en service pour les fournisseurs de services de communication, a publié son dernier rapport mensuel Plume IQ, basé sur les données et les informations axées sur le client. 

Balado Hashtag Tendances, 4 août 2022 — Des nouvelles d’Instagram, Amazon, Microsoft, Google et Meta

Balado Hashtag Tendances, 4 août 2022Cette semaine : Marche arrière pour Instagram, les géants portés par le nuage, augmenter la productivité de Google et une première baisse du chiffre d’affaires pour Meta.

Panne de Teams et de divers services intégrés de Microsoft mercredi soir

Les produits infonuagiques de Microsoft avec intégration de Teams ont subi une panne mercredi soir et tôt jeudi matin, heure de l'Est, selon un rapport du service d' information Bleeping Computer, perturbant les clients de l'hémisphère sud, d'Europe et d'Asie. Cela a été attribué à ce que Microsoft a déclaré sur son fil d'état Twitter comme une connexion à un service de stockage interne interrompue.

Balado Hashtag Tendances, 21 juillet 2022 — Arnaque sur Google, Microsoft AirSim, les chiffres de Netflix et poursuites contre Uber

Balado Hashtag Tendances, 21 juillet 2022 — Une micro-arnaque sur Google, le projet AirSim de Microsoft, des résultats meilleurs que prévus pour Netflix et des poursuites contre Uber.

Une campagne de hameçonnage associée à une fraude par courriel

Une vaste campagne de hameçonnage vise les organisations utilisant Microsoft Office 365, incitant les victimes à se connecter à une page d'authentification en ligne Office usurpée pour voler leurs informations d'identification et, conséquemment, mener des escroqueries par compromission des courriels professionnels (CCP).