Torniamo a parlare di Microsoft, vittima recentemente di diversi attacchi verso Azure, Microsoft 365 e la suite Office, questa volta colpita nei server di Exchange tramite una backdoor che sfrutta il servizio Internet Information Services (IIS), utilizzato per ospitare in rete delle applicazioni web. Rispetto alle web shell, Microsoft Exchange ha un livello di allerta molto più basso, il che lo rende l’obiettivo perfetto per poter iniettare un qualunque software dannoso nel sistema.
Poiché sono nascosti in profondità all’interno dei server compromessi e spesso molto difficili da rilevare essendo installati nella posizione esatta e utilizzando la stessa struttura dei moduli legittimi, forniscono agli aggressori un meccanismo di persistenza perfetto e duraturo. Raramente viene usata solamente un’estensione IIS dannosa per poter infettare il dispositivo della vittima, in quanto prima solitamente si applica una web shell in modo tale da avere accesso alla macchina e solo successivamente si utilizza l’estensione malevola, così che il malware possa essere persistente per più tempo.
Dopo la distribuzione, i moduli IIS dannosi consentono agli autori delle minacce di raccogliere credenziali dalla memoria di sistema e informazioni dalla rete delle vittime, oltre che dai dispositivi infetti e fornire più payload. Più recentemente, in una campagna malware avvenuta tra gennaio e maggio 2022 che ha preso di mira i server Microsoft Exchange, gli aggressori hanno distribuito estensioni IIS dannose per ottenere l’accesso alle caselle di posta elettronica delle vittime, eseguire comandi in remoto e rubare credenziali o dati riservati. La backdoor viene installata sotto forma di una DLL dal nome FinanceSvcModel.dll e posizionata nel percorso C:\inetpub\wwwroot\bin\, che rappresenta quello predefinito per la pubblicazione di applicazioni sotto IIS.
Per difendersi dagli attacchi che utilizzano estensioni IIS dannose, Microsoft consiglia ai clienti di mantenere aggiornati i server Exchange, mantenere abilitate le soluzioni antimalware e di sicurezza, verificare le configurazioni relative ai ruoli e gruppi sensibili, limitare l’accesso alle directory virtuali IIS, assegnare priorità agli avvisi e ispezionare i file di configurazione e le cartelle bin.