Onderzoekers hebben malware ontdekt die een feature in Microsoft Internet Information Services (IIS) gebruikt als backdoor, zo meldt securitybedrijf Symantec. IIS is een webserver waarop miljoenen websites draaien. Volgens W3Techs draait bijna zes procent van de webservers op IIS. Het platform biedt een feature genaamd Failed Requests Tracing, ook bekend als Failed Request Event Buffering (FREB). Daarmee wordt informatie over requests van clients verzameld, zoals ip-adres en poort en http headers en cookies.

Met deze informatie kunnen beheerders zien waarom bepaalde requests zijn mislukt. Het is dan ook vooral bedoeld voor troubleshooting. Aanvallers gebruiken de feature echter als backdoor, zo ontdekte Symantec. Op besmette servers worden bepaalde requests die de aanvaller verstuurt omgezet naar backdoor-commando's, aldus de onderzoekers. Hiervoor wordt code van de IIS-webserver door de malware aangepast. Vervolgens zal de malware alle inkomende http-requests onderscheppen en naar specifiek geformatteerde requests kijken.

Via deze requests is het mogelijk om op afstand code uit te voeren en opdrachten aan interne systemen te geven. Voordat aanvallers de backdoor kunnen gebruiken moeten ze eerst de IIS-server compromitteren. Hoe de aanvallers dat doen is onbekend. Symantec stelt dat de backdoor, die Frebniis wordt genoemd, tegen verschillende doelwitten in Taiwan is ingezet.