Elke maand raken gemiddeld 46.000 webservers besmet met webshells waardoor aanvallers allerlei aanvallen tegen organisaties kunnen uitvoeren, zo stelt Microsoft op basis van informatie die via de eigen beveiligingssoftware is verkregen.
Een webshell is kwaadaardige code die vaak in programmeertalen zoals ASP, PHP en JSP is geschreven en door aanvallers op webservers wordt geplaatst. Via de webshell kan een aanvaller de server op afstand benaderen en allerlei code en commando's uitvoeren. Zo is het mogelijk om data van de webserver te stelen of de server als springplank voor verdere aanvallen tegen de aangevallen organisatie te gebruiken.
Volgens Microsoft vinden er steeds meer incidenten plaats waarbij aanvallers van webshells gebruikmaken. Om een webshell te kunnen plaatsten moet een aanvaller eerst toegang tot de webserver zien te krijgen. Dit komt doordat organisaties beschikbare beveiligingsupdates niet installeren of hun systemen verkeerd configureren, aldus Microsoft. De zakelijke beveiligingssoftware van het techbedrijf detecteert elke maand gemiddeld 77.000 webshells op 46.000 webservers.
In een blogposting beschrijft Microsoft een incident waarbij de webserver van een organisatie in de publieke sector door een misconfiguratie met een webshell besmet raakte. De aanvallers wisten vervolgens verschillende accounts te compromitteren en zich lateraal door het netwerk te bewegen. Uiteindelijk werd er een backdoor op een Microsoft Exchange-server geïnstalleerd waarmee de aanvallers alle inkomende en uitgaande e-mails konden onderscheppen.
Organisaties krijgen het advies van Microsoft om beschikbare beveiligingsupdates te installeren en misconfiguraties op te sporen en te verhelpen. Verder wordt aangeraden om logbestanden van webservers geregeld te controleren en bewust te zijn van welke systemen op internet worden aangesloten.
Deze posting is gelocked. Reageren is niet meer mogelijk.