{"id":287576,"date":"2022-07-27T10:09:57","date_gmt":"2022-07-27T10:09:57","guid":{"rendered":"https:\/\/teknomers.com\/es\/las-extensiones-de-iis-maliciosas-ganan-popularidad-entre-los-ciberdelincuentes-por-su-acceso-persistente\/"},"modified":"2022-07-27T10:09:59","modified_gmt":"2022-07-27T10:09:59","slug":"las-extensiones-de-iis-maliciosas-ganan-popularidad-entre-los-ciberdelincuentes-por-su-acceso-persistente","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/las-extensiones-de-iis-maliciosas-ganan-popularidad-entre-los-ciberdelincuentes-por-su-acceso-persistente\/","title":{"rendered":"Las extensiones de IIS maliciosas ganan popularidad entre los ciberdelincuentes por su acceso persistente"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Los actores de amenazas abusan cada vez m\u00e1s de las extensiones de Internet Information Services (IIS) para servidores de puerta trasera como un medio para establecer un “mecanismo de persistencia duradero”.<\/p>\n

Eso es seg\u00fan un nueva advertencia<\/a> del equipo de investigaci\u00f3n de Microsoft 365 Defender, que dijo que “las puertas traseras de IIS tambi\u00e9n son m\u00e1s dif\u00edciles de detectar, ya que en su mayor\u00eda residen en los mismos directorios que los m\u00f3dulos leg\u00edtimos utilizados por las aplicaciones de destino, y siguen la misma estructura de c\u00f3digo que los m\u00f3dulos limpios”.<\/p>\n

Las cadenas de ataque que adoptan este enfoque comienzan con armar una vulnerabilidad cr\u00edtica en la aplicaci\u00f3n alojada para el acceso inicial, utilizando este punto de apoyo para colocar un script web shell como la carga \u00fatil de la primera etapa.<\/p>\n

\"La<\/a><\/div>\n

Este shell web luego se convierte en el conducto para instalar un m\u00f3dulo IIS no autorizado para proporcionar un acceso altamente encubierto y persistente al servidor, adem\u00e1s de monitorear las solicitudes entrantes y salientes, as\u00ed como ejecutar comandos remotos.<\/p>\n

De hecho, a principios de este mes, los investigadores de Kaspersky revelaron una campa\u00f1a realizada por el grupo Gelsemium, que se aprovech\u00f3 de las fallas de ProxyLogon Exchange Server para lanzar una pieza de malware IIS llamada SessionManager.<\/p>\n

\"Extensiones<\/div>\n

En otra serie de ataques observados por el gigante tecnol\u00f3gico entre enero y mayo de 2022, los servidores de Exchange fueron atacados con shells web por medio de un exploit para las fallas de ProxyShell, lo que finalmente condujo a la implementaci\u00f3n de una puerta trasera llamada “FinanceSvcModel.dll”, pero no antes de un per\u00edodo de reconocimiento.<\/p>\n

\"La<\/a><\/div>\n

“La puerta trasera ten\u00eda una capacidad integrada para realizar operaciones de gesti\u00f3n de Exchange, como enumerar las cuentas de buz\u00f3n de correo instaladas y exportar buzones de correo para exfiltraci\u00f3n”, explic\u00f3 el investigador de seguridad Hardik Suri.<\/p>\n

Para mitigar tales ataques, se recomienda aplicar las \u00faltimas actualizaciones de seguridad para los componentes del servidor lo antes posible, mantener antivirus y otras protecciones habilitadas, revisar roles y grupos confidenciales y restringir el acceso practicando el principio de privilegio m\u00ednimo y manteniendo una buena higiene de credenciales. .<\/p>\n

<\/p>\n<\/div>\n


\n
ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Los actores de amenazas abusan cada vez m\u00e1s de las extensiones de Internet Information Services (IIS) para servidores<\/p>\n","protected":false},"author":1,"featured_media":287577,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[3348,4657,4656,4661,13476,4664,372,3574,4662,4494,84982,4668,246,4667,36,7355,4654,4658,4659,4653,4655,24342,2420,231,4663,4666,4665,4660],"class_list":["post-287576","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-acceso","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-ciberdelincuentes","tag-como-hackear","tag-entre","tag-extensiones","tag-filtracion-de-datos","tag-ganan","tag-iis","tag-la-seguridad-informatica","tag-las","tag-las-noticias-de-los-hackers","tag-los","tag-maliciosas","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-persistente","tag-popularidad","tag-por","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/287576","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=287576"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/287576\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/287577"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=287576"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=287576"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=287576"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}