IIS-Attacken auf Exchange Server

Microsoft warnt vor gut verborgener Malware, die auf Microsofts Webserver Internet Information Services (IIS) basiert und dazu verwendet wird, Backdoors zu installieren oder Zugangsdaten zu stehlen.

Microsoft bietet Einblicke in die Erkennung und Entfernung bösartiger IIS-Erweiterungen, die als Nutzlast für Exchange-Server nicht so beliebt sind wie Web-Shells, aber für Angreifer nützlich sind, da sie sich meist in denselben Verzeichnissen befinden wie legitime Module, die von Zielanwendungen verwendet werden. Die folgen derselben Codestruktur wie saubere Module.

Als solche werden sie möglicherweise nicht als bösartig angesehen, und es kann schwierig sein, die Quelle einer Infektion zu identifizieren. Die wichtigsten IIS-gehosteten Anwendungen sind Outlook on the Web und Microsoft Exchange Server, die einem Angreifer vollständigen Zugriff auf die E-Mail-Kommunikation eines Ziels geben können, wenn sie angegriffen werden.

Das Sicherheitsunternehmen ESET hat im vergangenen Jahr 80 einzigartige bösartige IIS-Module gefunden, die zu 14 Malware-Familien gehören und von denen die meisten bisher nicht dokumentiert waren. Dazu gehörten IIS-Backdoors, Info-Stealer, Injektoren, Proxys für C&C-Infrastrukturen und Module, die in betrügerischer Absicht Inhalte für Suchmaschinen verändern. In allen Fällen fing die IIS-Malware HTTP-Anfragen ab, die von dem kompromittierten IIS-Server kamen, und beeinflusste die Art und Weise, wie der Server auf bestimmte Anfragen reagierte.

Laut Microsoft beginnen IIS-Erweiterungsangriffe in der Regel damit, dass der Angreifer eine kritische Schwachstelle in der gehosteten Anwendung ausnutzt und dann eine Web-Shell ablegt. Irgendwann nach der Bereitstellung der Web-Shell installiert der Angreifer eine IIS-Backdoor, um sich heimlich und dauerhaft Zugang zum Server zu verschaffen.

Bei einer Kampagne, die zwischen Januar und Mai 2022 auf Exchange-Server abzielte, beobachtete Microsoft, dass Angreifer angepasste IIS-Module installierten.

„Sobald die Backdoor bei der Zielanwendung registriert ist, kann sie ein- und ausgehende Anfragen überwachen und zusätzliche Aufgaben ausführen, wie z. B. das Ausführen von Remote-Befehlen oder das Auslesen von Anmeldedaten im Hintergrund, während sich der Benutzer bei der Webanwendung authentifiziert“, erklärt Microsoft.

Zwischen März und Juni 2021 beobachtete ESET eine Welle von IIS-Backdoors, die sich über die Exchange ProxyLogon Pre-Authentication Remote Code Execution-Schwachstellen (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065) verbreiteten.

„Da IIS zur Implementierung von OWA verwendet wird, waren diese ein besonders interessantes Ziel für Spionage“, so ESET.

Microsoft stellt den Incident-Response-Teams Details über die Funktionsweise von IIS und die beobachteten Angriffsarten zur Verfügung, damit die Kunden sich dagegen verteidigen können. Microsoft geht davon aus, dass Angreifer in Zukunft verstärkt IIS-Backdoors nutzen werden.

IIS ist ein modularer Webserver, der ein Kernbestandteil der Windows-Plattform ist. Benutzer können IIS-Webserver mit Hilfe von Erweiterungen, die in nativen (C/C++) und verwalteten (C#, VB.NET) Codestrukturen geschrieben sind, nach Bedarf anpassen. Microsoft konzentriert sich auf C#- und VB.NET-Erweiterungen.

Microsofts technischer Überblick über die Art und Weise, wie Angreifer die IIS-Hintertüren von Kunden nutzen, umfasst Befehlsausführungen, Zugriff auf Anmeldeinformationen, Fernzugriff und Exfiltration.

Zu den wichtigsten bösartigen .NET IIS-Erweiterungen im vergangenen Jahr gehörten: Web-Shells, die von Hafnium/China Chopper verwendet wurden, einer vom chinesischen Staat gesponserten Gruppe, die Zero-Days in Exchange ausnutzt; Open-Source-IIS-Backdoor-Projekte auf GitHub, die für Red-Team-Übungen gedacht sind und von Angreifern für ihre Aktivitäten genutzt werden; IIS-Handler, die so konfiguriert werden können, dass sie auf bestimmte Erweiterungen oder Anfragen reagieren; und Credential Stealers, die nach bestimmten Anfragen suchen, um eine Anmeldeaktivität zu ermitteln.

Neben der Anwendung aller Software-Updates und der Ausführung von Virenschutzprogrammen empfiehlt Microsoft die Überprüfung hoch privilegierter Kontogruppen wie Administratoren, Remote-Desktop-Benutzer und Unternehmensadministratoren. Außerdem wird empfohlen, eine mehrstufige Authentifizierung zu aktivieren, den Zugriff auf das Notwendige zu beschränken und die Verwendung von domänenweiten Dienstkonten auf Administratorebene zu vermeiden.