Haberler

IIS Uzantıları Exchange Server’da Arka Kapı Olarak Kullanılıyor

Microsoft, patch yüklenmemiş Exchange Server sunucularında, IIS servisini kullanarak kötü amaçlı yazılım kullandıklarını belirtti.

Güncel olmayan Exchange Server sunucularında, yapılan operasyonları tespit etmek zor olduğu bildirildi.

Microsoft 365 Defender Araştırma Ekibi yapmış olduğu açıklamada, “Çoğu durumda, arka kapı mantığı minimum ve IIS uzantılarının nasıl çalıştığına dair geniş bir anlayış biçimi olmadan, IIS uzantıları kötü amaçlı olarak kabul edilmiyor ve bu durumda enfeksiyonun kaynağını belirlemeyi zorlaştırıyor” dedi.

Güvenli İhlal Edilmiş Sunucularda Kalıcı Erişim Bulunuyor

Genellikle ilk saldırı, web kabuğu olarak dağıtılmaktadır. IIS modulü ise, saldırıya uğraşmış sunucuda gizli ve kalıcı erişim sağlamak için daha sonra dağıtılmaktadır.

Microsoft, daha önce ManageEngine ADSelfServicePlus ve SolarWinds Orion güvenlik açıklarında özel IIS arka kapısı yüklendiğini görmüştü.

Kötü amaçlı IIS modülü ile, sistem belleğinden bilgilerin toplanmasına ve virüslü cihazlardan bilgi toplanmasına olanak sağladığını duyurdu.

Exchange sunucularına kötü amaçlı IIS modülleri olarak dağıtılan kötü amaçlı yazılımlar

Kaspersky ayrıca yakın zamanda komutları yürütmek ve kimlik bilgilerini uzaktan çalmak için Microsoft Exchange sunucularına IIS uzantıları olarak gönderilen kötü amaçlı yazılımları da tespit etti.

Aralık ayında, Güneydoğu Asya ve Avrupa’daki devlet kurumlarını ve toplu taşıma şirketlerini hedeflemek için Owowa adlı kötü amaçlı bir IIS web sunucusu modülü kullanıldı.

SessionManager adlı başka bir IIS kötü amaçlı yazılımı, Avrupa, Orta Doğu, Asya ve Afrika’dan hükümet ve askeri kuruluşlara yönelik saldırılarda en azından Mart 2021’den bu yana (geçen yılki büyük ProxyLogon saldırı dalgasının başlamasından hemen sonra) tespit edilmeden vahşi doğada kullanıldı.

Kaspersky, “Kurbanın sistemine bir kez düştüğünde, arka kapının arkasındaki siber suçlular şirket e-postalarına erişebilir, diğer kötü amaçlı yazılım türlerini yükleyerek daha fazla kötü amaçlı erişimi güncelleyebilir veya kötü amaçlı altyapı olarak kullanılabilecek güvenliği ihlal edilmiş sunucuları gizlice yönetebilir” dedi.

“IIS modülleri, özellikle web kabukları gibi tipik web uygulaması tehditleriyle karşılaştırıldığında, arka kapılar için yaygın bir biçim değildir ve bu nedenle standart dosya izleme çabaları sırasında kolayca gözden kaçırılabilir.”

Microsoft, kötü amaçlı IIS modüllerini kullanan saldırılara karşı korunmak için müşterilere Exchange sunucularını güncel tutmalarını, kötü amaçlı yazılımdan koruma ve güvenlik çözümlerini etkin tutmalarını, hassas rolleri ve grupları gözden geçirmelerini, IIS sanal dizinlerine erişimi kısıtlamalarını, uyarılara öncelik vermelerini ve yapılandırma dosyalarını ve klasör klasörlerini incelemelerini önerir.

Malicious IIS extensions quietly open persistent backdoors into servers – Microsoft Security Blog

Kaynak: bleepingcomputer.com

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu