Microsoft Internet Information Services (IIS) est un progiciel de serveur Web conçu pour Windows Server. Les organisations utilisent couramment les serveurs Microsoft IIS pour héberger des sites Web, des fichiers et d’autres contenus sur le Web. Les acteurs de la menace ciblent de plus en plus ces ressources accessibles sur Internet comme étant des moyens simples de trouver et d’exploiter les vulnérabilités qui facilitent l’accès aux environnements informatiques.
Récemment, de nombreuses activités du groupe Lazarus (APT) se sont concentrées sur la recherche de serveurs Microsoft IIS vulnérables et sur leur infection par des logiciels malveillants ou leur utilisation pour distribuer du code malveillant. Cet article décrit les détails des attaques de logiciels malveillants et propose des suggestions concrètes pour protéger les serveurs Microsoft IIS contre elles.
Un aperçu des serveurs Microsoft IIS
IIS a été introduit pour la première fois avec Windows NT 3.51 en tant que package facultatif en 1995. Depuis lors, plusieurs itérations, améliorations et fonctionnalités ont été ajoutées pour s’aligner sur l’évolution d’Internet, notamment la prise en charge des requêtes HTTPS (HTTP sécurisé). En plus d’être un serveur Web et de servir les requêtes HTTP et HTTPS, Microsoft IIS est également livré avec un serveur FTP pour les transferts de fichiers et un serveur SMTP pour les services de messagerie.
Microsoft IIS s’intègre étroitement au populaire .NET Framework de la société, ce qui le rend particulièrement adapté à l’hébergement d’applications Web ASP.NET. Les entreprises utilisent ASP.NET pour créer des sites Web dynamiques ou des applications Web qui interagissent avec des bases de données. Ces applications, construites avec ASP.NET et exécutées sur Microsoft IIS, offrent une excellente évolutivité, performances et compatibilité avec l’écosystème Microsoft.
Bien qu’il soit moins populaire que les packages de serveur Web comme Nginx ou Apache, Microsoft IIS reste utilisé à 5,4% de tous les sites Internet dont le serveur web est connu. Certains prétendaient utilisateurs renommés de Microsoft IIS incluent Accenture, Alibaba Travels, Mastercard et Intuit.
Attaques de Lazarus sur les serveurs Microsoft IIS
Lazarus est un groupe nord-coréen de cyberespionnage et de cybercriminalité qui a récemment été observé en train d’exploiter des vulnérabilités spécifiques de Microsoft IIS. Le gang a déjà mené certaines des cyberattaques les plus notoires de l’histoire, notamment l’incident du ransomware WannaCry en 2017 et le vol de 100 millions de dollars de monnaie virtuelle pas plus tard qu’en juin 2022.
Bien que Microsoft IIS dispose de fonctionnalités de sécurité intégrées, il est essentiel de le maintenir à jour. Historiquement, les attaquants ont exploité des serveurs IIS vulnérables sur lesquels les derniers correctifs n’étaient pas appliqués. La dernière vague d’attaques de Lazarus reflète ce schéma, avec quelques autres subtilités supplémentaires.
Première vague d’activités malveillantes
Une enquête menée en mai 2023 par la société de cybersécurité sud-coréenne ASEC a confirmé que les acteurs de la menace Lazarus recherchent et exploitent activement les serveurs Microsoft IIS vulnérables. L’activité initiale était centrée sur les techniques de chargement latéral de DLL qui exploitaient des serveurs vulnérables pour exécuter du code arbitraire. Les attaques par chargement latéral de DLL fonctionnent en tirant parti de la façon dont le processus du serveur Web IIS, w3wp.exe, charge les bibliothèques de liens dynamiques (DLL).
En manipulant ce processus, les acteurs de Lazarus ont inséré des logiciels malveillants dans des serveurs vulnérables. Une fois chargée, la DLL exécute un fichier portable dans l’espace mémoire du serveur. Ce fichier est une porte dérobée qui communique avec le serveur de commande et de contrôle (C2) du gang.
Sur une note particulière, pour les équipes de sécurité, les vulnérabilités ciblées dans ces attaques pour la violation initiale étaient généralement analysées et des vulnérabilités très médiatisées comprenaient Log4Shell, une vulnérabilité dans la solution VoIP de bureau 3CX et une vulnérabilité d’exécution de code à distance dans le domaine numérique. solution de certificat MagicLine4NX.
Autres attaques utilisant des serveurs IIS pour distribuer des logiciels malveillants
Une nouvelle série d’attaques de logiciels malveillants impliquant des serveurs Microsoft IIS a ciblé le logiciel de sécurité financière et de contrôle d’intégrité INISAFE CrossWeb EX. Le programme, développé par Initech, est vulnérable à partir de la version 3.3.2.41 ou antérieure à l’injection de code.
Les recherches ont révélé que 47 entreprises étaient touchées par des logiciels malveillants résultant de l’exécution de versions vulnérables du processus logiciel Initech, inisafecrosswebexsvc.exe. Les versions vulnérables de CrossWeb EX chargent une DLL malveillante, SCSKAppLink.dll. Cette DLL malveillante récupère ensuite une autre charge utile malveillante, et le point intéressant est que l’URL de la charge utile pointe vers un serveur Microsoft IIS.
Tout cela aboutit à la conclusion que les acteurs de Lazarus exploitent non seulement des vulnérabilités courantes pour compromettre les serveurs Microsoft IIS (comme indiqué dans la section précédente), mais qu’ils exploitent également la confiance que la plupart des systèmes accordent à ces serveurs d’applications pour distribuer des logiciels malveillants. via des serveurs IIS compromis.
Comment protéger vos serveurs Microsoft IIS
Les complexités techniques et les subtilités de ces attaques de Lazarus peuvent obscurcir la nature plutôt fondamentale de la manière dont elles peuvent se produire en premier lieu. Il y a toujours un point de violation initial, et il est surprenant de constater combien de fois ce point de violation se résume à une gestion inefficace des correctifs.
Par exemple, un Avis CISA de mars 2023 décrit des violations similaires des serveurs Microsoft IIS du gouvernement américain qui se sont produites lorsque des pirates ont exploité une vulnérabilité pour laquelle un correctif est disponible depuis 2020. La vulnérabilité, dans ce cas, concernait les serveurs exécutant Progress Telerik, un ensemble d’interfaces utilisateur (User Interface). ) frameworks et outils de développement d’applications.
Voici donc ce que vous pouvez faire pour protéger les serveurs Microsoft IIS exécutés dans votre environnement :
- Mettez en œuvre une gestion efficace des correctifs qui maintient les logiciels à jour avec les dernières versions et correctifs, idéalement en utilisant une certaine forme d’automatisation.
- Utilisez une solution de gestion des correctifs qui dresse un inventaire précis et complet de tous les logiciels exécutés dans votre environnement informatique pour éviter tout correctif ou mise à jour manqué de ce que l’on appelle le shadow IT.
- Utilisez le principe des moindres privilèges pour les comptes de service afin que tous les services sur vos serveurs Microsoft IIS ne s’exécutent qu’avec les autorisations minimales nécessaires.
- Analysez les journaux de sécurité réseau de systèmes tels que les systèmes de détection d’intrusion, les pare-feu, les outils de prévention contre la perte de données et les réseaux privés virtuels. Analysez également les journaux des serveurs Microsoft IIS et recherchez les messages d’erreur inattendus indiquant des tentatives de déplacement latéral ou d’écriture de fichiers dans des répertoires supplémentaires.
- Renforcez les points de terminaison des utilisateurs avec des outils spécialisés de détection et de réponse des points de terminaison, capables de détecter les attaques avancées et les techniques d’évasion du type de celles sur lesquelles se concentrent les acteurs de Lazarus.
- Vérifiez la fonctionnalité des correctifs après les avoir appliqués, car il arrive parfois qu’un correctif ne s’installe pas correctement pour diverses raisons, telles que des problèmes de compatibilité du système, des interruptions lors de l’installation ou des conflits logiciels.
Enfin, affinez votre approche de la gestion des vulnérabilités grâce à tests continus de sécurité des applications Web. Comme le prouvent les attaques de Lazarus, les vulnérabilités courantes des applications Web hébergées sur Microsoft IIS peuvent être exploitées par des adversaires pour compromettre le serveur, obtenir un accès non autorisé, voler des données ou lancer d’autres attaques.
Les tests continus des applications Web garantissent qu’à chaque modification de vos applications ou configurations Web, vous réévaluez l’état de sécurité de votre infrastructure et détectez les vulnérabilités introduites lors des modifications.
Un autre avantage des tests continus de sécurité des applications est la profondeur de leur couverture. Le test manuel du stylet de vos applications Web révèle des failles techniques et logiques métier que les scanners automatisés pourraient manquer. Cette couverture tient compte du fait que les scanners de vulnérabilités traditionnels peuvent avoir des limites dans la détection des vulnérabilités dans certains cas, comme dans les installations logicielles atypiques où les chemins de fichiers peuvent s’écarter de la norme. Les évaluations de sécurité périodiques traditionnelles peuvent laisser des vulnérabilités non détectées pendant des mois. Une approche continue réduit considérablement le délai entre l’introduction d’une vulnérabilité et sa découverte. Obtenez des tests de sécurité des applications Web avec SWAT Les tests de sécurité continus des applications Web offrent une solution proactive et efficace pour identifier et atténuer les vulnérabilités des applications que vous exécutez sur Microsoft IIS et de l’infrastructure du serveur sous-jacente. SWAT by Outpost 24 vous offre une analyse automatisée qui fournit une surveillance continue des vulnérabilités ainsi qu’une notation des risques contextuelle pour prioriser les efforts de remédiation. Vous avez également accès à une équipe de testeurs hautement qualifiés et expérimentés qui parcourront vos applications à la recherche de vulnérabilités plus difficiles à détecter avec des scanners automatisés. Toutes ces fonctionnalités sont disponibles dans une seule interface utilisateur avec des notifications configurables. Obtenez une démonstration en direct de SWAT en action ici et voyez comment vous pouvez atteindre un niveau plus approfondi de surveillance de la sécurité et de détection des risques.