Microsoft a constaté une augmentation de la détection de portes dérobées basées sur des extensions de son serveur web Internet Information Services (IIS). La raison en est que les modules qui servent d’extensions à IIS sont parfaitement structurés pour camoufler un code malveillant qui passe sous la ligne radar des systèmes de détection des logiciels malveillants, y compris Microsoft Defender lui-même.

Pourquoi ? Les extensions IIS malveillantes sont programmées en C# et présentent généralement une structure logique minimale. Cela simplifie leur développement mais renforce également leur capacité de furtivité en générant le minimum d’activité nécessaire. Ils parviennent à passer inaperçus une fois qu’ils sont installés dans le système.

Mais malgré leur taille et leur fonctionnalité, ils sont capables de capturer des informations, de manipuler le trafic et d’ouvrir un shell web aux attaquants. Ils ne s’impliquent pas dans le système au-delà des domaines et des ressources du serveur web, évitant ainsi les endroits souvent visités par les logiciels malveillants.

L’article fournit des instructions sur la façon de déployer une stratégie défensive qui répond à ce cas particulier, ainsi que des indicateurs de compromission pour les extensions malveillantes connues.

Plus d’informations:
https://www.microsoft.com/security/blog/2022/07/26/malicious-iis-extensions-quietly-open-persistent-backdoors-into-servers/