Microsoft Internet Information Services (IIS) es un paquete de software de servidor web dise\u00f1ado para Windows Server. Las organizaciones suelen utilizar servidores Microsoft IIS para alojar sitios web, archivos y otro contenido en la web. Los actores de amenazas apuntan cada vez m\u00e1s a estos recursos de Internet como una opci\u00f3n f\u00e1cil de encontrar y explotar vulnerabilidades que faciliten el acceso a entornos de TI. <\/p>\n
Recientemente, una gran cantidad de actividad por parte del grupo de amenazas persistentes avanzadas (APT) Lazarus se ha centrado en encontrar servidores Microsoft IIS vulnerables e infectarlos con malware o usarlos para distribuir c\u00f3digo malicioso. Este art\u00edculo describe los detalles de los ataques de malware y ofrece sugerencias pr\u00e1cticas para proteger los servidores Microsoft IIS contra ellos. <\/p>\n
Una descripci\u00f3n general de los servidores Microsoft IIS<\/h2>\n
IIS se introdujo por primera vez con Windows NT 3.51 como un paquete opcional en 1995. Desde entonces, se han agregado varias iteraciones, mejoras y caracter\u00edsticas para alinearse con la evoluci\u00f3n de Internet, incluida la compatibilidad con solicitudes HTTPS (HTTP seguro). Adem\u00e1s de ser un servidor web y atender solicitudes HTTP y HTTPS, Microsoft IIS tambi\u00e9n viene con un servidor FTP para transferencias de archivos y un servidor SMTP para servicios de correo electr\u00f3nico.<\/p>\n
Microsoft IIS se integra estrechamente con el popular .NET Framework de la empresa, lo que lo hace especialmente adecuado para alojar aplicaciones web ASP.NET. Las empresas utilizan ASP.NET para crear sitios web din\u00e1micos o aplicaciones web que interact\u00faan con bases de datos. Estas aplicaciones, creadas con ASP.NET y ejecutadas en Microsoft IIS, ofrecen excelente escalabilidad, rendimiento y compatibilidad con el ecosistema de Microsoft.<\/p>\n
A pesar de ser menos popular que los paquetes de servidores web como Nginx o Apache, Microsoft IIS sigue utiliz\u00e1ndose en 5,4%<\/a> de todos los sitios web cuyo servidor web se conoce. Algunos pretendieron usuarios de renombre de Microsoft IIS<\/a> incluyen Accenture, Alibaba Travels, Mastercard e Intuit.<\/p>\n Lazarus es un grupo norcoreano de ciberespionaje y cibercrimen al que recientemente se ha observado que explota vulnerabilidades espec\u00edficas de Microsoft IIS. La pandilla llev\u00f3 a cabo anteriormente algunos de los ataques cibern\u00e9ticos m\u00e1s notorios de la historia, incluido el incidente del ransomware WannaCry de 2017 y el robo de 100 millones de d\u00f3lares en moneda virtual en junio de 2022. <\/p>\n Si bien Microsoft IIS tiene funciones de seguridad integradas, es esencial mantenerlo actualizado. Hist\u00f3ricamente, los atacantes han explotado servidores IIS vulnerables a los que no se les hab\u00edan aplicado los \u00faltimos parches. La \u00faltima serie de ataques de L\u00e1zaro refleja este patr\u00f3n, con algunas otras complejidades a\u00f1adidas. <\/p>\n Una investigaci\u00f3n de mayo de 2023 realizada por la empresa surcoreana de ciberseguridad ASEC confirm\u00f3 que los actores de amenazas de Lazarus buscan y explotan activamente servidores Microsoft IIS vulnerables. La actividad inicial se centr\u00f3 en t\u00e9cnicas de carga lateral de DLL que explotaban servidores vulnerables para ejecutar c\u00f3digo arbitrario. Los ataques de carga lateral de DLL funcionan aprovechando la forma en que el proceso del servidor web IIS, w3wp.exe, carga bibliotecas de enlaces din\u00e1micos (DLL). <\/p>\n Al manipular este proceso, los actores de Lazarus insertaron malware en servidores vulnerables. Una vez cargada, la DLL ejecuta un archivo port\u00e1til dentro del espacio de memoria del servidor. Este archivo es una puerta trasera que se comunica con el servidor de comando y control (C2) de la pandilla. <\/p>\n En una nota particular, para los equipos de seguridad es que las vulnerabilidades objetivo de estos ataques para la infracci\u00f3n inicial fueron com\u00fanmente analizadas en busca de vulnerabilidades de alto perfil que inclu\u00edan Log4Shell, una vulnerabilidad en la soluci\u00f3n VoIP de escritorio 3CX y una vulnerabilidad de ejecuci\u00f3n remota de c\u00f3digo en el sistema digital. soluci\u00f3n de certificado MagicLine4NX. <\/p>\n Otra ronda de ataques de malware que involucraron servidores Microsoft IIS tuvo como objetivo el software de verificaci\u00f3n de integridad y seguridad financiera, INISAFE CrossWeb EX. El programa, desarrollado por Initech, es vulnerable a la inyecci\u00f3n de c\u00f3digo desde la versi\u00f3n 3.3.2.41 o anterior. <\/p>\n La investigaci\u00f3n descubri\u00f3 47 empresas afectadas por malware que surgi\u00f3 de la ejecuci\u00f3n de versiones vulnerables del proceso de software de Initech, inisafecrosswebexsvc.exe. Las versiones vulnerables de CrossWeb EX cargan una DLL maliciosa, SCSKAppLink.dll. Esta DLL maliciosa luego recupera otra carga \u00fatil maliciosa y lo interesante es que la URL de la carga \u00fatil apunta a un servidor Microsoft IIS. <\/p>\n Todo esto se suma a la conclusi\u00f3n de que los actores de Lazarus no s\u00f3lo est\u00e1n explotando vulnerabilidades comunes para comprometer los servidores Microsoft IIS (seg\u00fan la secci\u00f3n anterior), sino que tambi\u00e9n est\u00e1n aprovechando la confianza que la mayor\u00eda de los sistemas depositan en estos servidores de aplicaciones para distribuir malware. a trav\u00e9s de servidores IIS comprometidos.<\/p>\n Las complejidades t\u00e9cnicas de estos ataques de L\u00e1zaro pueden oscurecer la naturaleza bastante b\u00e1sica de c\u00f3mo pueden ocurrir en primer lugar. Siempre hay un punto de infracci\u00f3n inicial y es sorprendente la frecuencia con la que este punto de infracci\u00f3n se debe a una gesti\u00f3n de parches ineficaz. <\/p>\n Por ejemplo, un Asesoramiento CISA<\/a> de marzo de 2023 describe infracciones similares de los servidores Microsoft IIS del gobierno de EE. UU. que surgieron cuando los piratas inform\u00e1ticos explotaron una vulnerabilidad para la cual hay un parche disponible desde 2020. La vulnerabilidad, en este caso, estaba en servidores que ejecutaban Progress Telerik, un conjunto de UI (interfaz de usuario). ) marcos y herramientas de desarrollo de aplicaciones. <\/p>\n Entonces, esto es lo que puede hacer para proteger los servidores Microsoft IIS que se ejecutan en su entorno:<\/p>\n Por \u00faltimo, perfeccione su enfoque para la gesti\u00f3n de vulnerabilidades a trav\u00e9s de pruebas continuas de seguridad de aplicaciones web<\/a>. Como lo demuestran los ataques de Lazarus, los adversarios pueden aprovechar las vulnerabilidades comunes en las aplicaciones web alojadas en Microsoft IIS para comprometer el servidor, obtener acceso no autorizado, robar datos o lanzar m\u00e1s ataques.<\/p>\n Las pruebas continuas de aplicaciones web garantizan que con cada cambio en sus aplicaciones o configuraciones web, reeval\u00fae la postura de seguridad de su infraestructura y detecte las vulnerabilidades introducidas durante las modificaciones. <\/p>\n Otro beneficio de las pruebas continuas de seguridad de las aplicaciones es su profundidad de cobertura. Las pruebas de penetraci\u00f3n manuales de sus aplicaciones web descubren fallas t\u00e9cnicas y de l\u00f3gica empresarial que los esc\u00e1neres automatizados podr\u00edan pasar por alto. Esta cobertura aborda el hecho de que los esc\u00e1neres de vulnerabilidades tradicionales pueden tener limitaciones para detectar vulnerabilidades en ciertos casos, como en instalaciones de software at\u00edpicas donde las rutas de los archivos pueden desviarse de la norma. Las evaluaciones de seguridad peri\u00f3dicas tradicionales pueden dejar vulnerabilidades sin detectar durante meses. Un enfoque continuo reduce significativamente el tiempo entre la introducci\u00f3n de una vulnerabilidad y su descubrimiento. Obtenga pruebas de seguridad de aplicaciones web con SWAT Las pruebas continuas de seguridad de aplicaciones web ofrecen una soluci\u00f3n proactiva y eficiente para identificar y mitigar vulnerabilidades tanto en las aplicaciones que ejecuta en Microsoft IIS como en la infraestructura del servidor subyacente. SWAT by Outpost 24 le proporciona un escaneo automatizado que proporciona un monitoreo continuo de vulnerabilidades junto con una puntuaci\u00f3n de riesgos basada en el contexto para priorizar los esfuerzos de remediaci\u00f3n. Tambi\u00e9n obtiene acceso a un equipo de probadores de penetraci\u00f3n altamente capacitados y experimentados que buscar\u00e1n en sus aplicaciones vulnerabilidades que sean m\u00e1s dif\u00edciles de detectar con esc\u00e1neres automatizados. Todas estas funciones est\u00e1n disponibles en una \u00fanica interfaz de usuario con notificaciones configurables. Obtenga una demostraci\u00f3n en vivo de SWAT en acci\u00f3n aqu\u00ed<\/b><\/a> y vea c\u00f3mo puede lograr un nivel m\u00e1s profundo de monitoreo de seguridad y detecci\u00f3n de riesgos. <\/p>\nAtaques de Lazarus a servidores Microsoft IIS<\/h2>\n
Ronda inicial de actividad maliciosa<\/h3>\n
Otros ataques utilizan servidores IIS para distribuir malware<\/h3>\n
C\u00f3mo proteger sus servidores Microsoft IIS <\/h2>\n
\n