{"id":280450,"date":"2022-07-27T07:33:23","date_gmt":"2022-07-27T09:33:23","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-extensions-iis-malveillantes-gagnent-en-popularite-parmi-les-cybercriminels-pour-un-acces-persistant\/"},"modified":"2022-07-27T07:33:24","modified_gmt":"2022-07-27T09:33:24","slug":"les-extensions-iis-malveillantes-gagnent-en-popularite-parmi-les-cybercriminels-pour-un-acces-persistant","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-extensions-iis-malveillantes-gagnent-en-popularite-parmi-les-cybercriminels-pour-un-acces-persistant\/","title":{"rendered":"Les extensions IIS malveillantes gagnent en popularit\u00e9 parmi les cybercriminels pour un acc\u00e8s persistant"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Les acteurs de la menace abusent de plus en plus des extensions Internet Information Services (IIS) pour les serveurs de porte d\u00e9rob\u00e9e afin d&#8217;\u00e9tablir un \u00ab m\u00e9canisme de persistance durable \u00bb.<\/p>\n<p>C&#8217;est selon un <a rel=\"nofollow noopener\" href=\"https:\/\/www.microsoft.com\/security\/blog\/2022\/07\/26\/malicious-iis-extensions-quietly-open-persistent-backdoors-into-servers\/\" target=\"_blank\">nouvel avertissement<\/a> de l&#8217;\u00e9quipe de recherche Microsoft 365 Defender, qui a d\u00e9clar\u00e9 que &#8220;les portes d\u00e9rob\u00e9es IIS sont \u00e9galement plus difficiles \u00e0 d\u00e9tecter car elles r\u00e9sident principalement dans les m\u00eames r\u00e9pertoires que les modules l\u00e9gitimes utilis\u00e9s par les applications cibles, et elles suivent la m\u00eame structure de code que les modules propres&#8221;.<\/p>\n<p>Les cha\u00eenes d&#8217;attaque adoptant cette approche commencent par militariser une vuln\u00e9rabilit\u00e9 critique dans l&#8217;application h\u00e9berg\u00e9e pour un acc\u00e8s initial, en utilisant cette prise de pied pour supprimer un shell Web de script comme charge utile de premi\u00e8re \u00e9tape.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/strike-d\" target=\"_blank\" title=\"DevOps backupy\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/Une-nouvelle-etude-revele-que-la-plupart-des-fournisseurs-dentreprise.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>Ce shell Web devient alors le canal d&#8217;installation d&#8217;un module IIS escroc pour fournir un acc\u00e8s hautement secret et persistant au serveur, en plus de surveiller les demandes entrantes et sortantes ainsi que d&#8217;ex\u00e9cuter des commandes \u00e0 distance.<\/p>\n<p>En effet, plus t\u00f4t ce mois-ci, les chercheurs de Kaspersky ont r\u00e9v\u00e9l\u00e9 une campagne entreprise par le groupe Gelsemium, qui a profit\u00e9 des failles de ProxyLogon Exchange Server pour lancer un logiciel malveillant IIS appel\u00e9 SessionManager.<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"Extensions IIS malveillantes\" border=\"0\" data-original-height=\"268\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1658914403_851_Les-extensions-IIS-malveillantes-gagnent-en-popularite-parmi-les-cybercriminels.jpg\" title=\"Extensions IIS malveillantes\" \/><\/div>\n<p>Dans une autre s\u00e9rie d&#8217;attaques observ\u00e9es par le g\u00e9ant de la technologie entre janvier et mai 2022, les serveurs Exchange ont \u00e9t\u00e9 cibl\u00e9s avec des shells Web au moyen d&#8217;un exploit pour les failles ProxyShell, qui a finalement conduit au d\u00e9ploiement d&#8217;une porte d\u00e9rob\u00e9e appel\u00e9e &#8220;FinanceSvcModel.dll&#8221; mais pas avant une p\u00e9riode de reconnaissance.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" loading=\"lazy\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/07\/1656663365_395_Amazon-corrige-discretement-la-vulnerabilite-de-gravite-elevee-dans-lapplication.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>&#8220;La porte d\u00e9rob\u00e9e avait une capacit\u00e9 int\u00e9gr\u00e9e pour effectuer des op\u00e9rations de gestion Exchange, telles que l&#8217;\u00e9num\u00e9ration des comptes de bo\u00eetes aux lettres install\u00e9s et l&#8217;exportation de bo\u00eetes aux lettres pour exfiltration&#8221;, a expliqu\u00e9 le chercheur en s\u00e9curit\u00e9 Hardik Suri.<\/p>\n<p>Pour att\u00e9nuer de telles attaques, il est recommand\u00e9 d&#8217;appliquer les derni\u00e8res mises \u00e0 jour de s\u00e9curit\u00e9 pour les composants du serveur d\u00e8s que possible, de garder les antivirus et autres protections activ\u00e9s, de revoir les r\u00f4les et groupes sensibles et de restreindre l&#8217;acc\u00e8s en appliquant le principe du moindre privil\u00e8ge et en maintenant une bonne hygi\u00e8ne des informations d&#8217;identification. .<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/07\/malicious-iis-extensions-gaining.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les acteurs de la menace abusent de plus en plus des extensions Internet Information Services (IIS) pour les serveurs de porte d\u00e9rob\u00e9e afin d&#8217;\u00e9tablir un \u00ab m\u00e9canisme de persistance durable \u00bb. C&#8217;est selon un nouvel avertissement de l&#8217;\u00e9quipe de recherche Microsoft 365 Defender, qui a d\u00e9clar\u00e9 que &#8220;les portes d\u00e9rob\u00e9es IIS sont \u00e9galement plus difficiles [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":280451,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[15283,4168,4158,4165,4161,37976,3107,7437,84908,4157,4159,4171,4170,65,4167,7306,4160,4163,4162,2723,21977,21219,185,4172,4169,4166,4164],"class_list":["post-280450","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-acces","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cybercriminels","tag-extensions","tag-gagnent","tag-iis","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-malveillantes","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-parmi","tag-persistant","tag-popularite","tag-pour","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/280450","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=280450"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/280450\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/280451"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=280450"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=280450"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=280450"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}