IIS-Attacken auf Exchange Server

Microsoft warnt vor gut verborgener Malware, die auf Microsofts Webserver Internet Information Services (IIS) basiert und dazu verwendet wird, Backdoors zu installieren oder Zugangsdaten zu stehlen.

Microsoft bietet Einblicke in die Erkennung und Entfernung bösartiger IIS-Erweiterungen, die als Nutzlast für Exchange-Server nicht so beliebt sind wie Web-Shells, aber für Angreifer nützlich sind, da sie sich meist in denselben Verzeichnissen befinden wie legitime Module, die von Zielanwendungen verwendet werden. Die folgen derselben Codestruktur wie saubere Module.

Als solche werden sie möglicherweise nicht als bösartig angesehen, und es kann schwierig sein, die Quelle einer Infektion zu identifizieren. Die wichtigsten IIS-gehosteten Anwendungen sind Outlook on the Web und Microsoft Exchange Server, die einem Angreifer vollständigen Zugriff auf die E-Mail-Kommunikation eines Ziels geben können, wenn sie angegriffen werden.

Das Sicherheitsunternehmen ESET hat im vergangenen Jahr 80 einzigartige bösartige IIS-Module gefunden, die zu 14 Malware-Familien gehören und von denen die meisten bisher nicht dokumentiert waren. Dazu gehörten IIS-Backdoors, Info-Stealer, Injektoren, Proxys für C&C-Infrastrukturen und Module, die in betrügerischer Absicht Inhalte für Suchmaschinen verändern. In allen Fällen fing die IIS-Malware HTTP-Anfragen ab, die von dem kompromittierten IIS-Server kamen, und beeinflusste die Art und Weise, wie der Server auf bestimmte Anfragen reagierte.

Quelle: IIS-Attacken auf Exchange Server | ZDNet.de