Tussen januari en mei van dit jaar hebben aanvallers malafide IIS-extensies gebruikt als backdoor voor Exchange-servers, waarmee mailboxen en wachtwoorden konden worden gestolen, zo meldt Microsoft. IIS is de webserversoftware van Microsoft die standaard op Exchange-servers wordt geïnstalleerd. Het biedt gebruikers de mogelijkheid voor het installeren van extensies om zo de server naar hun wensen aan te passen.
Het is echter ook mogelijk om malafide IIS-extensies te maken die als backdoor kunnen fungeren. Volgens Microsoft maken aanvallers echter niet zo vaak gebruik van dergelijke IIS-extensies, maar kiezen ze vaker voor een webshell. Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando's uit te voeren. Door de voorkeur voor webshells worden malafide IIS-extensies slechter gedetecteerd dan webshells.
Daarnaast zijn IIS-backdoors lastiger te detecteren omdat ze zich in dezelfde directories als legitieme extensies bevinden en dezelfde codestructuur als schone extensies gebruiken, aldus Microsoft. "In de meeste gevallen is de backdoorlogica minimaal en zonder een breder begrip van hoe legitieme IIS-extensies werken niet als kwaadaardig te beschouwen, wat het ook lastiger maakt om de infectiebron te bepalen", zo laat Hardik Suri van het Microsoft 365 Defender Research Team verder weten.
Bij de aanvallen maken de aanvallers eerst gebruik van een kwetsbaarheid in Exchange om een webshell te installeren. Vervolgens wordt via de webshell de malafide IIS-extensie geïnstalleerd. De extensie laat aanvallers mailboxen en inloggegevens stelen en Exchange-logs aanpassen. Met de gestolen inloggegevens houden de aanvallers toegang tot de server, ook als de primaire backdoor wordt ontdekt en verwijderd.
Microsoft verwacht dat aanvallers vaker IIS-backdoors zullen inzetten en het daarom zeer belangrijk is dat verdedigers weten hoe deze aanvallen werken, om ze zo te kunnen detecteren en voorkomen. Verder worden organisaties geadviseerd om servers up-to-date te houden en groepen zoals Administrators, Remote Desktop Users en Enterprise Admins te controleren, aangezien aanvallers geregeld accounts hieraan toevoegen. Tevens adviseert Microsoft om het web.config bestand en de bin directory op malafide toevoegingen te controleren.
Deze posting is gelocked. Reageren is niet meer mogelijk.