Des cybercriminels mettent en place une porte dérobée dans des installations du serveur Web Internet Information Services (IIS) de Microsoft qui n’est pas détectée par certains services d’analyse de fichiers en ligne, selon des chercheurs de Kaspersky.
Ils avisent également que les serveurs IIS doivent faire l’objet « d’un processus d’investigation complet et dédié » pour détecter d’éventuelles compromissions.
Surnommée SessionManager, la porte dérobée est un module IIS de code natif malveillant qui peut traiter des requêtes HTTP légitimes qui sont continuellement envoyées au serveur.
Selon le rapport, les pirates exploitent une vulnérabilité de type ProxyLogon pour insérer le module. ProxyLogon est le nom de la vulnérabilité CVE-2021-26855 sur Microsoft Exchange Server qui permet à un attaquant de contourner l’authentification et de se faire passer pour l’administrateur.
« L’insertion d’un module IIS en tant que porte dérobée permet aux pirates de maintenir un accès persistant, résistant aux mises à jour et relativement furtif à l’infrastructure informatique d’une organisation ciblée ; que ce soit pour collecter des courriels, mettre à jour d’autres accès malveillants ou gérer clandestinement des serveurs compromis qui peuvent être exploités comme infrastructure malveillante », ont déclaré les chercheurs de Kaspersky dans le rapport publié la semaine dernière.
SessionManager a été utilisé contre des organisations non gouvernementales (ONG), des organisations du secteur public, des installations militaires et industrielles en Afrique, en Amérique du Sud, en Asie, en Europe, en Russie et au Moyen-Orient, depuis au moins mars 2021.
Ce n’est que le dernier d’un certain nombre de modules IIS malveillants que les chercheurs ont découverts. En décembre, Kaspersky en avait signalé un baptisé Owowa parce qu’il vole les informations d’identification et permet l’exécution de commandes à distance à partir de ce qui s’appelait alors Outlook Web App (OWA) et qui est maintenant connu sous le nom d’Outlook sur le Web.
Les modules malveillants traitent des requêtes HTTP apparemment légitimes mais spécifiquement conçues des cybercriminels, le cas échéant, déclenchent des actions basées sur les instructions cachées des opérateurs puis transmettent de manière transparente la requête au serveur pour qu’elle soit traitée comme n’importe quelle autre requête. Par conséquent, ces modules ne sont pas facilement repérables par les pratiques de surveillance habituelles : ils n’initient pas nécessairement des communications suspectes vers des serveurs externes, ils reçoivent des commandes via des requêtes HTTP vers un serveur qui est spécifiquement exposé à de tels processus et leurs fichiers sont souvent placés dans des dossiers insoupçonnés qui contiennent beaucoup d’autres fichiers légitimes.
SessionManager offre trois fonctionnalités qui, lorsqu’elles sont combinées, en font une porte dérobée de faible poids à accès initial persistant, indique le rapport :
- Lire, écrire et supprimer des fichiers arbitraires sur le serveur compromis.
- Exécuter du code arbitraire à partir du serveur compromis, également appelé « exécution de commandes à distance ».
- Établir des connexions à des points de terminaison de réseau arbitraires qui peuvent être atteints par le serveur compromis, ainsi que lire et écrire dans ces connexions.
« Nous ne saurions trop insister sur le fait que les serveurs IIS doivent subir un processus d’investigation complet et dédié en raison de la gigantesque opportunité que les vulnérabilités de type ProxyLogon a exposée », déclare Kaspersky.
Lire aussi :
Un ver se propage via des clés USB infectées, prévient Microsoft
Un palmarès canadien des escroqueries en ligne
Piratage de thèmes et modules pour WordPress développés par AccessPress
Adaptation et traduction française par Renaud Larue-Langlois
