„Microsoft“ įspėja apie slaptas užpakalines duris, naudojamas nukreipti „Exchange“ serverius

Padaugėjo kenkėjiškų programų, kurios yra „Microsoft“ interneto informacijos paslaugų (IIS) žiniatinklyje serveris, kuris naudojamas užpakalinėms durims įdiegti arba kredencialams pavogti ir kurį sunku aptikti, įspėja Microsoft.

„Microsoft“ pasiūlė įžvalgų, kaip aptikti ir pašalinti kenkėjiškus IIS plėtinius, kurie nėra tokie populiarus kaip žiniatinklio apvalkalai kaip „Exchange“ serverių naudingoji apkrova, tačiau yra naudingi užpuolikui, nes jie „dažniausiai yra tame pačiame katalogus kaip teisėtus modulius, naudojamus tikslinėse programose, ir jie laikosi tos pačios kodo struktūros kaip ir švarūs moduliai“, Microsoft pažymi.

Todėl jie gali būti nelaikomi kenkėjiškais ir gali būti sunku nustatyti infekcijos šaltinį. Pagrindinės tikslinės IIS priglobtos programos yra „Outlook on the Web“ ir „Microsoft Exchange Server“, kurios, jei jos pažeistos, gali suteikti užpuolikui visišką prieigą prie tikslo el. pašto pranešimų.

MATYTI: Tai yra didžiausios kibernetinio saugumo grėsmės. Įsitikinkite, kad jų neignoruojate

Apsaugos įmonė ESET pernai rasta 80 unikalių kenkėjiškų IIS modulių, priklausančių 14 kenkėjiškų programų šeimų, kurių dauguma anksčiau buvo nedokumentuoti. Tai apėmė IIS užpakalines duris, informacijos vagystes, purkštuvus, C&C infrastruktūros tarpinius serverius ir modulius, kurie apgaulingai modifikuoja turinį, teikiamą paieškos sistemoms. Visais atvejais IIS kenkėjiška programa perimdavo HTTP užklausas, gaunamas iš pažeisto IIS serverio, ir paveikė serverio atsakymą į tam tikras užklausas.

„Microsoft“ teigia, kad IIS plėtinių atakos paprastai prasideda užpuolikui pasinaudojant svarbiu priglobtosios programos trūkumu, o tada numeta žiniatinklio apvalkalą. Tam tikru momentu, įdiegęs žiniatinklio apvalkalą, užpuolikas įdiegia IIS užpakalines duris, kad būtų slapta ir nuolatinė prieiga prie serverio.

2022 m. sausio–gegužės mėn. vykdant kampaniją, skirtą „Exchange“ serveriams, „Microsoft“ pastebėjo, kad užpuolikai įdiegė pritaikytus IIS modulius.

„Užsiregistravus tikslinėje programoje, užpakalinės durys gali stebėti gaunamas ir siunčiamas užklausas bei atlikti papildomas užduotis, pvz. kaip nuotolinių komandų vykdymas arba kredencialų išmetimas fone, kai vartotojas autentifikuojasi žiniatinklio programoje“, „Microsoft“ paaiškina.

2021 m. kovo–birželio mėn. ESET stebėjo IIS užpakalinių durų bangą, išplitusią per Exchange ProxyLogon išankstinio autentifikavimo nuotolinio kodo vykdymo spragas (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, ir CVE-2021-27065).

„Konkrečiai buvo skirti Exchange serveriai, kurie turi „Outlook“ žiniatinklyje (dar žinomas kaip OWA) įjungtas – kadangi IIS naudojama OWA įgyvendinti, tai buvo ypač įdomus šnipinėjimo taikinys“, – pažymėjo ESET.

„Microsoft“ teikia reagavimo į incidentus komandoms išsamią informaciją apie tai, kaip veikia IIS ir kokių atakų ji matoma, kad klientai galėtų nuo jų apsiginti. „Microsoft“ tikisi, kad užpuolikai ateityje vis dažniau naudos IIS užpakalines duris.

IIS yra modulinis žiniatinklio serveris, kuris yra pagrindinė Windows platformos dalis. Vartotojai gali tinkinti IIS žiniatinklio serverius pagal poreikį naudodami plėtinius, parašytus vietinėse (C/C++) ir valdomose (C#, VB.NET) kodų struktūrose. „Microsoft“ daugiausia dėmesio skiria C#, VB.NET plėtiniams.

„Microsoft“ techninė apžvalga, kaip užpuolikai naudoja klientų IIS užpakalines duris, apima komandų vykdymą, kredencialų prieigą, nuotolinę prieigą ir išfiltravimą.

MATYTI: Tai yra rytojaus kibernetinio saugumo grėsmės, apie kurias turėtumėte pagalvoti šiandien

Pagrindiniai kenkėjiški .NET IIS plėtiniai per pastaruosius metus buvo: žiniatinklio apvalkalai, naudojami Hafnium/China Chopper, Kinijos valstybės remiama grupė, išnaudojanti biržos nulinę dieną; atvirojo kodo IIS užpakalinių durų GitHub projektai, skirti raudonosios komandos pratyboms ir kuriuos užpuolikai pakelia už savo veiklą; IIS tvarkyklės, kurios gali būti sukonfigūruotos atsakyti į tam tikrus plėtinius ar užklausas; ir kredencialų vagystės, kurios stebi konkrečias užklausas, kad nustatytų prisijungimo veiklą.

„Microsoft“ rekomenduoja ne tik taikyti visus programinės įrangos naujinimus ir paleisti antivirusines programas, bet ir peržiūrėti itin privilegijuotas paskyrų grupes, pvz., administratorius, nuotolinio darbalaukio naudotojus ir įmonių administratorius. Taip pat rekomenduojama įgalinti kelių veiksnių autentifikavimą, apriboti prieigą prie to, ko reikia, ir vengti naudoti viso domeno administratoriaus lygio paslaugų paskyras.