image

Microsoft: malafide IIS-extensies gebruikt als backdoor voor Exchange-servers

woensdag 27 juli 2022, 10:20 door Redactie, 6 reacties

Tussen januari en mei van dit jaar hebben aanvallers malafide IIS-extensies gebruikt als backdoor voor Exchange-servers, waarmee mailboxen en wachtwoorden konden worden gestolen, zo meldt Microsoft. IIS is de webserversoftware van Microsoft die standaard op Exchange-servers wordt geïnstalleerd. Het biedt gebruikers de mogelijkheid voor het installeren van extensies om zo de server naar hun wensen aan te passen.

Het is echter ook mogelijk om malafide IIS-extensies te maken die als backdoor kunnen fungeren. Volgens Microsoft maken aanvallers echter niet zo vaak gebruik van dergelijke IIS-extensies, maar kiezen ze vaker voor een webshell. Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando's uit te voeren. Door de voorkeur voor webshells worden malafide IIS-extensies slechter gedetecteerd dan webshells.

Daarnaast zijn IIS-backdoors lastiger te detecteren omdat ze zich in dezelfde directories als legitieme extensies bevinden en dezelfde codestructuur als schone extensies gebruiken, aldus Microsoft. "In de meeste gevallen is de backdoorlogica minimaal en zonder een breder begrip van hoe legitieme IIS-extensies werken niet als kwaadaardig te beschouwen, wat het ook lastiger maakt om de infectiebron te bepalen", zo laat Hardik Suri van het Microsoft 365 Defender Research Team verder weten.

Bij de aanvallen maken de aanvallers eerst gebruik van een kwetsbaarheid in Exchange om een webshell te installeren. Vervolgens wordt via de webshell de malafide IIS-extensie geïnstalleerd. De extensie laat aanvallers mailboxen en inloggegevens stelen en Exchange-logs aanpassen. Met de gestolen inloggegevens houden de aanvallers toegang tot de server, ook als de primaire backdoor wordt ontdekt en verwijderd.

Microsoft verwacht dat aanvallers vaker IIS-backdoors zullen inzetten en het daarom zeer belangrijk is dat verdedigers weten hoe deze aanvallen werken, om ze zo te kunnen detecteren en voorkomen. Verder worden organisaties geadviseerd om servers up-to-date te houden en groepen zoals Administrators, Remote Desktop Users en Enterprise Admins te controleren, aangezien aanvallers geregeld accounts hieraan toevoegen. Tevens adviseert Microsoft om het web.config bestand en de bin directory op malafide toevoegingen te controleren.

Reacties (6)
27-07-2022, 10:43 door Anoniem
Goed bangmaken zodat iedereen vrijwillig zijn email afstaat aan Microsoft (en 3 letter agencies) in 365.

In Nederland is dat een zeer besmettelijke ziekte.
27-07-2022, 10:52 door Anoniem
Ik adviseer om met Microsoft systemen te stoppen wegens de lage kwaliteit van de software. Omdat deze informatie van Microsoft zelf komt moet het wel erg zijn.
27-07-2022, 13:03 door Bitje-scheef
Door Anoniem: Ik adviseer om met Microsoft systemen te stoppen wegens de lage kwaliteit van de software. Omdat deze informatie van Microsoft zelf komt moet het wel erg zijn.

Office, Teams en Exchange zo lek als een zeef.
27-07-2022, 14:05 door Anoniem
Door Bitje-scheef:
Door Anoniem: Ik adviseer om met Microsoft systemen te stoppen wegens de lage kwaliteit van de software. Omdat deze informatie van Microsoft zelf komt moet het wel erg zijn.

Office, Teams en Exchange zo lek als een zeef.
Niet alleen lek. Er is altijd weer een permissie probleem na een update. Wat is dat toch Microsoft en settings?
27-07-2022, 19:11 door karma4
Door Bitje-scheef:
Door Anoniem: Ik adviseer om met Microsoft systemen te stoppen wegens de lage kwaliteit van de software. Omdat deze informatie van Microsoft zelf komt moet het wel erg zijn.
Office, Teams en Exchange zo lek als een zeef.
Van liunx weet ik dat het standaard lek is met het gangbare slechte beheer. Extensies lokaal op een exchange server installeren, dat gaat niet vanzelf. Lees even webshell problematiek dat is iets uit open software land.
28-07-2022, 08:54 door Anoniem
Door karma4:
Door Bitje-scheef:
Door Anoniem: Ik adviseer om met Microsoft systemen te stoppen wegens de lage kwaliteit van de software. Omdat deze informatie van Microsoft zelf komt moet het wel erg zijn.
Office, Teams en Exchange zo lek als een zeef.
Van liunx weet ik dat het standaard lek is met het gangbare slechte beheer. Extensies lokaal op een exchange server installeren, dat gaat niet vanzelf. Lees even webshell problematiek dat is iets uit open software land.
Als ik jouw offtopic reactie lees denk ik dat open source you werk overbodig heeft gemaakt.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.