Microsoft varuje před možností zneužít IIS extensions jako zadní vrátka k serverům

Internet Information Services (IIS) je služba sloužící primárně jako webový server od společnosti Microsoft, která běží na systémech Windows.

Služba samotná byla od počátku navržena jako modulární řešení. Umožňuje tak vývojářům přidávat nové moduly jako rozšíření z různých zdrojů (oficiální, třetí strany, open-source).

Podle Microsoft 365 Defender Research Team jsou poslední dobou (např. rozsáhlá kampaň útoků na Exchange servery od ledna do května 2022) tyto moduly stále častěji využívány jako perzistentní zadní vrátka k serverům.

Jedná se o typ útoku, kdy útočník využije jiné kritické zranitelnosti pro přístup na server a následně nainstaluje IIS extension modul nebo handler, který mu zajistí trvalý skrytý přístup. Bývá obtížné tyto „škodlivé“ moduly rozpoznat od běžných, zvláště v případě, když je útočník aktivně nevyužívá pro přístup k serveru.

Pro prevenci těchto útoků Microsoft doporučuje:

• Vždy aplikovat poslední bezpečnostní aktualizace systému.
• Mít aktivní a aktualizovanou antivirovou ochranu.
• Dělat pravidelný audit přístupových práv skupin a jednotlivých uživatelů.
• Kontrolovat config file a bin folder u provozovaných aplikací, zda neobsahuje neznámou konfiguraci.
• Rozšířit konfiguraci bezpečnostních prvků o Indicators of compromise (IOC), které pomohou zachytit již známé škodlivé soubory/moduly.

Více detailů o celé problematice naleznete v tomto článku.