Une porte dérobée dans le serveur Web IIS de Microsoft, préviennent les chercheurs de Kaspersky

Des cybercriminels mettent en place une porte dérobée dans des installations du serveur Web Internet Information Services (IIS) de Microsoft qui n’est pas détectée par certains services d’analyse de fichiers en ligne, selon des chercheurs de Kaspersky.

Image : Getty

Ils avisent également que les serveurs IIS doivent faire l’objet  « d’un processus d’investigation complet et dédié » pour détecter d’éventuelles compromissions.

Surnommée SessionManager, la porte dérobée est un module IIS de code natif malveillant qui peut traiter des requêtes HTTP légitimes qui sont continuellement envoyées au serveur.

Selon le rapport, les pirates exploitent une vulnérabilité de type ProxyLogon pour insérer le module. ProxyLogon est le nom de la vulnérabilité CVE-2021-26855 sur Microsoft Exchange Server qui permet à un attaquant de contourner l’authentification et de se faire passer pour l’administrateur.

« L’insertion d’un module IIS en tant que porte dérobée permet aux pirates de maintenir un accès persistant, résistant aux mises à jour et relativement furtif à l’infrastructure informatique d’une organisation ciblée ; que ce soit pour collecter des courriels, mettre à jour d’autres accès malveillants ou gérer clandestinement des serveurs compromis qui peuvent être exploités comme infrastructure malveillante », ont déclaré les chercheurs de Kaspersky dans le rapport publié la semaine dernière.

SessionManager a été utilisé contre des organisations non gouvernementales (ONG), des organisations du secteur public, des installations militaires et industrielles en Afrique, en Amérique du Sud, en Asie, en Europe, en Russie et au Moyen-Orient, depuis au moins mars 2021.

Ce n’est que le dernier d’un certain nombre de modules IIS malveillants que les chercheurs ont découverts. En décembre, Kaspersky en avait signalé un baptisé Owowa parce qu’il vole les informations d’identification et permet l’exécution de commandes à distance à partir de ce qui s’appelait alors Outlook Web App (OWA) et qui est maintenant connu sous le nom d’Outlook sur le Web.

Les modules malveillants traitent des requêtes HTTP apparemment légitimes mais spécifiquement conçues des cybercriminels, le cas échéant, déclenchent des actions basées sur les instructions cachées des opérateurs puis transmettent de manière transparente la requête au serveur pour qu’elle soit traitée comme n’importe quelle autre requête. Par conséquent, ces modules ne sont pas facilement repérables par les pratiques de surveillance habituelles : ils n’initient pas nécessairement des communications suspectes vers des serveurs externes, ils reçoivent des commandes via des requêtes HTTP vers un serveur qui est spécifiquement exposé à de tels processus et leurs fichiers sont souvent placés dans des dossiers insoupçonnés qui contiennent beaucoup d’autres fichiers légitimes.

SessionManager offre trois fonctionnalités qui, lorsqu’elles sont combinées, en font une porte dérobée de faible poids à accès initial persistant, indique le rapport :

  • Lire, écrire et supprimer des fichiers arbitraires sur le serveur compromis.
  • Exécuter du code arbitraire à partir du serveur compromis, également appelé « exécution de commandes à distance ».
  • Établir des connexions à des points de terminaison de réseau arbitraires qui peuvent être atteints par le serveur compromis, ainsi que lire et écrire dans ces connexions.

« Nous ne saurions trop insister sur le fait que les serveurs IIS doivent subir un processus d’investigation complet et dédié en raison de la gigantesque opportunité que les vulnérabilités de type ProxyLogon a exposée », déclare Kaspersky.

Pour plus de détails, l’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Lire aussi :

Un ver se propage via des clés USB infectées, prévient Microsoft

Un palmarès canadien des escroqueries en ligne

Piratage de thèmes et modules pour WordPress développés par AccessPress

Adaptation et traduction française par Renaud Larue-Langlois

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected]

Articles connexes

Microsoft frappée par une panne globale d’Azure

Tôt hier matin, les clients du monde entier, à l'exception de ceux de la Chine, ont perdu l'accès à Microsoft Azure, ainsi qu'à des services tels qu'Outlook, Exchange Online et Teams. La société a attribué les problèmes à une mise à jour de son réseau étendu mondial (WAN), qu'elle a annulée.

Balado Hashtag Tendances, 26 janvier 2023 — Poursuites contre Google et Twitter, des médicaments à 5 $ et Windows 10 plus disponible

Cette semaine : Les États-Unis poursuivent Google, Twitter poursuivie pour non-paiement du loyer, des médicaments illimités pour 5 dollars et la fin des ventes de Windows 10.

Microsoft renforce son partenariat avec OpenAI

Microsoft a annoncé hier qu'elle entamait la troisième phase de son partenariat avec la société d'intelligence artificielle OpenAI, après des investissements en 2019 et 2021.

Microsoft va cesser la vente de licences Windows 10

Microsoft poursuit ses efforts pour l'adoption de Windows 11 en annonçant discrètement qu'elle cessera de vendre des licences Windows 10 le 31 janvier, bien que le système d'exploitation continue d'être pris en charge avec des mises à jour de sécurité jusqu'au 14 octobre 2025.

Un « atlas du cybercrime » aidera la police et les entreprises technologiques à combattre les cybercriminels

Microsoft et Fortinet font partie des entreprises technologiques soutenant le lancement officiel d'un effort visant à cartographier les activités cybercriminelles et à identifier les réponses conjointes des secteurs public et privé aux cybermenaces.