Microsoft Internet Information Services (IIS) es un paquete de software de servidor web diseñado para Windows Server. Las organizaciones suelen utilizar servidores Microsoft IIS para alojar sitios web, archivos y otro contenido en la web. Los actores de amenazas apuntan cada vez más a estos recursos de Internet como una opción fácil de encontrar y explotar vulnerabilidades que faciliten el acceso a entornos de TI.
Recientemente, una gran cantidad de actividad por parte del grupo de amenazas persistentes avanzadas (APT) Lazarus se ha centrado en encontrar servidores Microsoft IIS vulnerables e infectarlos con malware o usarlos para distribuir código malicioso. Este artículo describe los detalles de los ataques de malware y ofrece sugerencias prácticas para proteger los servidores Microsoft IIS contra ellos.
Una descripción general de los servidores Microsoft IIS
IIS se introdujo por primera vez con Windows NT 3.51 como un paquete opcional en 1995. Desde entonces, se han agregado varias iteraciones, mejoras y características para alinearse con la evolución de Internet, incluida la compatibilidad con solicitudes HTTPS (HTTP seguro). Además de ser un servidor web y atender solicitudes HTTP y HTTPS, Microsoft IIS también viene con un servidor FTP para transferencias de archivos y un servidor SMTP para servicios de correo electrónico.
Microsoft IIS se integra estrechamente con el popular .NET Framework de la empresa, lo que lo hace especialmente adecuado para alojar aplicaciones web ASP.NET. Las empresas utilizan ASP.NET para crear sitios web dinámicos o aplicaciones web que interactúan con bases de datos. Estas aplicaciones, creadas con ASP.NET y ejecutadas en Microsoft IIS, ofrecen excelente escalabilidad, rendimiento y compatibilidad con el ecosistema de Microsoft.
A pesar de ser menos popular que los paquetes de servidores web como Nginx o Apache, Microsoft IIS sigue utilizándose en 5,4% de todos los sitios web cuyo servidor web se conoce. Algunos pretendieron usuarios de renombre de Microsoft IIS incluyen Accenture, Alibaba Travels, Mastercard e Intuit.
Ataques de Lazarus a servidores Microsoft IIS
Lazarus es un grupo norcoreano de ciberespionaje y cibercrimen al que recientemente se ha observado que explota vulnerabilidades específicas de Microsoft IIS. La pandilla llevó a cabo anteriormente algunos de los ataques cibernéticos más notorios de la historia, incluido el incidente del ransomware WannaCry de 2017 y el robo de 100 millones de dólares en moneda virtual en junio de 2022.
Si bien Microsoft IIS tiene funciones de seguridad integradas, es esencial mantenerlo actualizado. Históricamente, los atacantes han explotado servidores IIS vulnerables a los que no se les habían aplicado los últimos parches. La última serie de ataques de Lázaro refleja este patrón, con algunas otras complejidades añadidas.
Ronda inicial de actividad maliciosa
Una investigación de mayo de 2023 realizada por la empresa surcoreana de ciberseguridad ASEC confirmó que los actores de amenazas de Lazarus buscan y explotan activamente servidores Microsoft IIS vulnerables. La actividad inicial se centró en técnicas de carga lateral de DLL que explotaban servidores vulnerables para ejecutar código arbitrario. Los ataques de carga lateral de DLL funcionan aprovechando la forma en que el proceso del servidor web IIS, w3wp.exe, carga bibliotecas de enlaces dinámicos (DLL).
Al manipular este proceso, los actores de Lazarus insertaron malware en servidores vulnerables. Una vez cargada, la DLL ejecuta un archivo portátil dentro del espacio de memoria del servidor. Este archivo es una puerta trasera que se comunica con el servidor de comando y control (C2) de la pandilla.
En una nota particular, para los equipos de seguridad es que las vulnerabilidades objetivo de estos ataques para la infracción inicial fueron comúnmente analizadas en busca de vulnerabilidades de alto perfil que incluían Log4Shell, una vulnerabilidad en la solución VoIP de escritorio 3CX y una vulnerabilidad de ejecución remota de código en el sistema digital. solución de certificado MagicLine4NX.
Otros ataques utilizan servidores IIS para distribuir malware
Otra ronda de ataques de malware que involucraron servidores Microsoft IIS tuvo como objetivo el software de verificación de integridad y seguridad financiera, INISAFE CrossWeb EX. El programa, desarrollado por Initech, es vulnerable a la inyección de código desde la versión 3.3.2.41 o anterior.
La investigación descubrió 47 empresas afectadas por malware que surgió de la ejecución de versiones vulnerables del proceso de software de Initech, inisafecrosswebexsvc.exe. Las versiones vulnerables de CrossWeb EX cargan una DLL maliciosa, SCSKAppLink.dll. Esta DLL maliciosa luego recupera otra carga útil maliciosa y lo interesante es que la URL de la carga útil apunta a un servidor Microsoft IIS.
Todo esto se suma a la conclusión de que los actores de Lazarus no sólo están explotando vulnerabilidades comunes para comprometer los servidores Microsoft IIS (según la sección anterior), sino que también están aprovechando la confianza que la mayoría de los sistemas depositan en estos servidores de aplicaciones para distribuir malware. a través de servidores IIS comprometidos.
Cómo proteger sus servidores Microsoft IIS
Las complejidades técnicas de estos ataques de Lázaro pueden oscurecer la naturaleza bastante básica de cómo pueden ocurrir en primer lugar. Siempre hay un punto de infracción inicial y es sorprendente la frecuencia con la que este punto de infracción se debe a una gestión de parches ineficaz.
Por ejemplo, un Asesoramiento CISA de marzo de 2023 describe infracciones similares de los servidores Microsoft IIS del gobierno de EE. UU. que surgieron cuando los piratas informáticos explotaron una vulnerabilidad para la cual hay un parche disponible desde 2020. La vulnerabilidad, en este caso, estaba en servidores que ejecutaban Progress Telerik, un conjunto de UI (interfaz de usuario). ) marcos y herramientas de desarrollo de aplicaciones.
Entonces, esto es lo que puede hacer para proteger los servidores Microsoft IIS que se ejecutan en su entorno:
- Implemente una gestión de parches eficaz que mantenga el software actualizado con las últimas versiones y parches, idealmente utilizando alguna forma de automatización.
- Utilice una solución de administración de parches que realice un inventario preciso y completo de todo el software que se ejecuta en su entorno de TI para evitar la pérdida de parches o actualizaciones de la llamada TI en la sombra.
- Utilice el principio de privilegios mínimos para las cuentas de servicio para que cualquier servicio en sus servidores Microsoft IIS solo se ejecute con los permisos mínimos necesarios.
- Analice los registros de seguridad de la red de sistemas como sistemas de detección de intrusos, firewalls, herramientas de prevención de pérdida de datos y redes privadas virtuales. Además, analice los registros de los servidores Microsoft IIS y busque mensajes de error inesperados que indiquen intentos de moverse lateralmente o escribir archivos en directorios adicionales.
- Fortalezca los puntos finales de los usuarios con herramientas especializadas de detección y respuesta de puntos finales que puedan detectar ataques avanzados y técnicas evasivas del tipo en el que se centran los actores de Lazarus.
- Verifique la funcionalidad de los parches después de aplicarlos porque a veces es posible que un parche no se instale correctamente debido a diversos motivos, como problemas de compatibilidad del sistema, interrupciones durante la instalación o conflictos de software.
Por último, perfeccione su enfoque para la gestión de vulnerabilidades a través de pruebas continuas de seguridad de aplicaciones web. Como lo demuestran los ataques de Lazarus, los adversarios pueden aprovechar las vulnerabilidades comunes en las aplicaciones web alojadas en Microsoft IIS para comprometer el servidor, obtener acceso no autorizado, robar datos o lanzar más ataques.
Las pruebas continuas de aplicaciones web garantizan que con cada cambio en sus aplicaciones o configuraciones web, reevalúe la postura de seguridad de su infraestructura y detecte las vulnerabilidades introducidas durante las modificaciones.
Otro beneficio de las pruebas continuas de seguridad de las aplicaciones es su profundidad de cobertura. Las pruebas de penetración manuales de sus aplicaciones web descubren fallas técnicas y de lógica empresarial que los escáneres automatizados podrían pasar por alto. Esta cobertura aborda el hecho de que los escáneres de vulnerabilidades tradicionales pueden tener limitaciones para detectar vulnerabilidades en ciertos casos, como en instalaciones de software atípicas donde las rutas de los archivos pueden desviarse de la norma. Las evaluaciones de seguridad periódicas tradicionales pueden dejar vulnerabilidades sin detectar durante meses. Un enfoque continuo reduce significativamente el tiempo entre la introducción de una vulnerabilidad y su descubrimiento. Obtenga pruebas de seguridad de aplicaciones web con SWAT Las pruebas continuas de seguridad de aplicaciones web ofrecen una solución proactiva y eficiente para identificar y mitigar vulnerabilidades tanto en las aplicaciones que ejecuta en Microsoft IIS como en la infraestructura del servidor subyacente. SWAT by Outpost 24 le proporciona un escaneo automatizado que proporciona un monitoreo continuo de vulnerabilidades junto con una puntuación de riesgos basada en el contexto para priorizar los esfuerzos de remediación. También obtiene acceso a un equipo de probadores de penetración altamente capacitados y experimentados que buscarán en sus aplicaciones vulnerabilidades que sean más difíciles de detectar con escáneres automatizados. Todas estas funciones están disponibles en una única interfaz de usuario con notificaciones configurables. Obtenga una demostración en vivo de SWAT en acción aquí y vea cómo puede lograr un nivel más profundo de monitoreo de seguridad y detección de riesgos.