Nieuws

Microsoft: meer drive-by downloads op Apache-servers dan IIS

donderdag 9 januari 2014, 10:44 door Redactie, 11 reacties

Websites die op Apache webservers draaien worden vaker gebruikt voor drive-by downloads dan websites die op Microsofts Internet Information Services (IIS) draaien, aldus cijfers van Microsoft. Een drive-by download probeert bezoekers van websites via ongepatchte software met malware te infecteren.

Het kan dan gaan om bijvoorbeeld beveiligingslekken in populaire software zoals Java, Internet Explorer, Adobe Reader of Adobe Flash Player die niet door de gebruiker zijn gepatcht. Zodra de gebruiker de website met een drive-by download bezoekt, wordt hij of zij stilletjes met malware geïnfecteerd.

Platform

Microsoft onderzocht het platform waarop de websites draaien die deze drive-by downloads bevatten. Dan blijkt dat het Apache webserverplatform met de meeste drive-by downloads te maken heeft, gevolgd door Nginx en Microsofts eigen IIS. Apache is veruit het meest gebruikte webserverplatform met een aandeel van zo'n 55%, maar de cijfers van Microsoft zijn genormaliseerd.

In onderstaande afbeelding worden het aantal geregistreerde domeinen met drive-by downloads op het platform per 1.000 geregistreerde domeinen op het platform weergegeven. In het geval van Apache ging het om 6,4 geregistreerde domeinen met drive-by downloads per 1.000 geregistreerde domeinen die op een Apache webserver draaiden.

Oorzaak

Tim Rains van Microsoft benadrukt dat het feit dat een platform meer drive-by downloads bevat door verschillende zaken komt, zoals de aanwezigheid van exploitkits die voor een specifiek platform zijn geschreven. In het geval van Apache kan het verschil met de andere platformen mogelijk worden verklaard door de 'Darkleech' aanvalstool, die het specifiek op Apache heeft voorzien. Darkleech plaatst drive-by downloads op websites die op Apache worden gehost.

Om te voorkomen dat aanvallers toegang tot een webserver krijgen en drive-by downloads op websites kunnen plaatsen, adviseert Rains om ervoor te zorgen dat de meest recente beveiligingsupdates zijn geïnstalleerd, de server niet wordt gebruikt om vanaf te surfen en e-mailen en dat gehoste websites niet kwetsbaar voor SQL Injection zijn, aangezien webservers ook op deze manier kunnen worden overgenomen.

SoftEther VPN opensource gemaakt voor vrij internet

Malware verspreid via advertenties op Dailymotion.com

Reacties (11)

09-01-2014, 11:41 door Anoniem

Typisch geval van wij van wc-eend.....

:-)

09-01-2014, 12:29 door SynC

Wij van wc eend adviseren wc eend ... Niet echt een heel objectief onderzoek denk ik.

09-01-2014, 12:42 door Anoniem

WC eend klets. Natuurlijk komt het vaker voor bij Apache servers, niet omdat die minder veilig zouden zijn maar gewoon omdat ze veel vaker worden ingezet dan andere!

Tsjonge, jonge, waar we zijn we nou helemaal mee bezig???

09-01-2014, 12:46 door Anoniem

Dus,

Apache is 55% en IIS maar 11%. Dat is een factor 5. Maar IIS is niet 5 keer minder gehacked dan Apache. Met andere woorden, IIS doet het nog slechter dan Apache.!

Lekkere onderzoek weer van Micisoft. Want als Micisoft het wel goed deed, hadden die een score van 6.4 / 5 moeten hebben wat dan 1.22 moet zijn. En niet 3.9

Ik zeg, IIS doet het 3 keer slechter dan Apache. En ja, @SynC ben het met je eens....

my 2 cents
TheYOSH

09-01-2014, 13:22 door WhizzMan

Als je kijkt voor wat voor doeleinden IIS wordt ingezet, zie je dat de meest bezochte websites bijna nooit IIS draaien. Voor aanvallers is het niet boeiend welk platform er gebruikt wordt om te hosten, maar hoeveel slachtoffers ze kunnen infecteren. Websites die IIS draaien zijn gewoon veel minder interessant om te infecteren, dus aanvallers gaan de moeite niet doen.

@Anoniem van 12:42: "Genormaliseerd" betekent dat ze al hebben gekeken naar hoeveel Apache wordt ingezet en daar voor hebben gecorrigeerd.

09-01-2014, 13:50 door Anoniem

Door Anoniem: WC eend klets. Natuurlijk komt het vaker voor bij Apache servers, niet omdat die minder veilig zouden zijn maar gewoon omdat ze veel vaker worden ingezet dan andere!

Tsjonge, jonge, waar we zijn we nou helemaal mee bezig???

Grappig, als we die zin eens "vertalen" naar een zin die slaat op Windows i.p.v. Linux dan krijg je;

Natuurlijk komt het vaker voor bij Windows pc's, niet omdat die
minder veilig zouden zijn maar gewoon omdat ze veel vaker worden ingezet dan andere!

09-01-2014, 14:02 door Anoniem

Het is logisch dat op Apache gebaseerde system meer wordt misbruikt. Het is immers gratis. Gebruikers van Microsoft servers zorgen meestal beter voor hun server (updates, geen rommel php applicaties gebruiken).

IIS is veel minder vatbaar voor exploits omdat er minder PHP applicaties op draaien.

nginx redirect meestal naar een andere server. De kans is groot dat dat Apache is.

09-01-2014, 14:50 door Anoniem

Hoeveel van die IIS services runnen wel niet effectief als webserver ansich maar als dependency of supplement, niet te vergeten hoeveel nabbies vergeten hebben die service uit te zetten of gedacht hebben het onnodig te activeren?
Voorbeeld: hoeveel exchangeservers wereldwijd met een IIS...WOW daar gaan we veel driveby op scoren ^^.
Komen we even terug op of IIS interessant is om te hacken: me dunkt van wel :P

Misschien doen die van WC-eend het dus helemaal niet zo slecht als beweerd. Als we al jaren in dezelfde kar rijden wil niet zeggen dat die op een gegeven moment niet gaat rotten of dat iemand een betere set wielen bedenkt.

09-01-2014, 18:01 door vimes

Ik dacht dat ik de enige idioot was die nog iis gebruikt.
Het draait bij mij ook alleen bij de gratie van het feit dat ik gebruikt maak van een moeilijk te vervangen ms-access applicatie.

10-01-2014, 14:37 door Anoniem

Door Anoniem: WC eend klets. Natuurlijk komt het vaker voor bij Apache servers, niet omdat die minder veilig zouden zijn maar gewoon omdat ze veel vaker worden ingezet dan andere!

Er wordt beweerd dat de gegevens genormaliseerd zijn. Dus niet het totaal aantal, maar het aantal per X websites.

Microsoft verklaart echter niet of dat dit komt door Apache of door al die extra software die door de gebruikers op is geinstalleerd, zoals Joomla e.d. Dergelijke suites zijn vaak niet eens voor IIS leverbaar en verminderen dus de aanvalskans op IIS.

Microsoft zou dit persbericht uit kunnen brengen met de titel "Apache is veel eenvoudiger in gebruik dan IIS."

Peter

10-01-2014, 16:51 door Anoniem

Het artikel bericht over 'websites' welke drive-by downloads aanbieden. Of deze websites op Apache of IIS draaien is niet relevant.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer