Nieuws
image

Malware gebruikt feature van Microsoft IIS-webservers als backdoor

vrijdag 17 februari 2023, 13:13 door Redactie, 8 reacties

Onderzoekers hebben malware ontdekt die een feature in Microsoft Internet Information Services (IIS) gebruikt als backdoor, zo meldt securitybedrijf Symantec. IIS is een webserver waarop miljoenen websites draaien. Volgens W3Techs draait bijna zes procent van de webservers op IIS. Het platform biedt een feature genaamd Failed Requests Tracing, ook bekend als Failed Request Event Buffering (FREB). Daarmee wordt informatie over requests van clients verzameld, zoals ip-adres en poort en http headers en cookies.

Met deze informatie kunnen beheerders zien waarom bepaalde requests zijn mislukt. Het is dan ook vooral bedoeld voor troubleshooting. Aanvallers gebruiken de feature echter als backdoor, zo ontdekte Symantec. Op besmette servers worden bepaalde requests die de aanvaller verstuurt omgezet naar backdoor-commando's, aldus de onderzoekers. Hiervoor wordt code van de IIS-webserver door de malware aangepast. Vervolgens zal de malware alle inkomende http-requests onderscheppen en naar specifiek geformatteerde requests kijken.

Via deze requests is het mogelijk om op afstand code uit te voeren en opdrachten aan interne systemen te geven. Voordat aanvallers de backdoor kunnen gebruiken moeten ze eerst de IIS-server compromitteren. Hoe de aanvallers dat doen is onbekend. Symantec stelt dat de backdoor, die Frebniis wordt genoemd, tegen verschillende doelwitten in Taiwan is ingezet.

Image

Reacties (8)
17-02-2023, 15:36 door Anoniem
"In order to use this technique, an attacker needs to gain access to the Windows system running the IIS server by some other means. In this particular case, it is unclear how this access was achieved."

Yeah.. als je toegang hebt tot het systeem kun je wel meer gekke dingen doen....
17-02-2023, 21:11 door Anoniem
Door Anoniem: "In order to use this technique, an attacker needs to gain access to the Windows system running the IIS server by some other means. In this particular case, it is unclear how this access was achieved."

Yeah.. als je toegang hebt tot het systeem kun je wel meer gekke dingen doen....
Het ligt aan welk niveau. Op een server wil je niet altijd als almachtige admin inloggen.
18-02-2023, 11:08 door Anoniem
Volgens W3Techs draait bijna zes procent van de webservers op IIS.
Er is geen enkel voordeel voor het gebruik van ISS. Je moet zelfs voor iedere bezoeker een licentie afdragen aan Microsoft.
18-02-2023, 18:11 door Anoniem
Door Anoniem:
Volgens W3Techs draait bijna zes procent van de webservers op IIS.
Er is geen enkel voordeel voor het gebruik van ISS.
Afgezien het verdomde weinig gehacked is?


Je moet zelfs voor iedere bezoeker een licentie afdragen aan Microsoft.
Incorrect, alleen als deze authenticatie richting local users of AD doet.
18-02-2023, 19:13 door Anoniem
Door Anoniem:
Volgens W3Techs draait bijna zes procent van de webservers op IIS.
Er is geen enkel voordeel voor het gebruik van ISS. Je moet zelfs voor iedere bezoeker een licentie afdragen aan Microsoft.
????? De klok en de klepel? Voor iedere bezoeker een licentie afdragen, ja hoor natuurlijk. Hoe je het dan wel even goed bij want bij eerste 1000 bezoekers krijgt je korting ;-)
18-02-2023, 23:22 door Anoniem
Door Anoniem:
Volgens W3Techs draait bijna zes procent van de webservers op IIS.
Er is geen enkel voordeel voor het gebruik van ISS.

https://www.security.nl/posting/786154/Malware+op+hostingservers+GoDaddy+liet+klantensites+naar+malafide+sites+wijzen[//ulr]Ik moest toch goed zoeken voor IIS webservers: http://www.zone-h.org/archive
20-02-2023, 14:52 door Anoniem
Hoe vervelend dit ook allemaal weer is, ik heb toch respect voor de creatieve bedenker van deze exploit. Jammer dat deze persoon aan de verkeerde kant van de strijd staat..
20-02-2023, 18:46 door Anoniem
Er is 1 klein detail: FREB staat default uit. https://learn.microsoft.com/en-us/iis/troubleshoot/using-failed-request-tracing/using-failed-request-tracing-rules-to-troubleshoot-application-request-routing-arr
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search