Trustwave découvre un malware pour les serveurs IIS
Qui permet à un hacker d'accéder au contenu des requêtes HTTP POST des utilisateurs

Le , par Cedric Chevalier, Expert éminent sénior
Trustwave, la firme de sécurité qui a démasqué la nouvelle version du malware Pony (responsable du vol de 2 000 000 de mots de passe) vient de découvrir un nouveau malware baptisé ISN, qui cible principalement les serveurs IIS de Microsoft (IIS6 32-Bit, IIS6 64-Bit, IIS7+ 32-Bit, IIS7+ 64-Bit).

Le malware est déployé par un fichier exécutable (installeur) comme un module (bibliothèque de liaison dynamique) d’IIS. Le module opère en interceptant les requêtes POST http des clients qu’il enregistre ensuite dans un fichier log sur le disque qu’un hacker distant peut consulter (avec une simple requête GET du fichier log). Un mécanisme ingénieux qui peut être utilisé pour subtiliser les mots de passe, les noms d’utilisateurs ainsi que les numéros de cartes de crédit pour les sites d’e-commerce.






Le chiffrement ne constitue en rien une méthode de protection efficace contre ISN, puisque le malware installé dans le serveur a accès aux données de la requête POST en clair.

Pour l’instant, seul l’installeur du malware est détecté par les solutions anti-virus majeures du marché (le module quant à lui, non). Et même dans ce cas, il s’agit d’analyse heuristique. En effet, à ce jour les signatures d’ISN ne sont pas encore disponibles. Ainsi, il est extrêmement difficile de donner une carte d’infection précise du malware. Quelques serveurs seulement sont répertoriés. On espère seulement que l’infection est bénigne.

Source : Trustwave

Et vous ?

Quelles sont, d'après vous, les chances que le domaine d'infection du malware soit plus important ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Bestel74 Bestel74 - Membre confirmé https://www.developpez.com
le 16/12/2013 à 10:21
Découvrir ça pendant les fête de noël ça fait froid dans le dos !
Avec toutes les commandes qui ont été passées

J'ai hâte de savoir comment il fonctionne !!
Avatar de imikado imikado - Rédacteur https://www.developpez.com
le 16/12/2013 à 12:36
Une chose que je n'ai pas saisi: le malware doit avoir été installé sur le serveur, c'est bien ça ?

Mais les serveurs sous windows sont utilisés avec parcimonie: les administrateurs n'y installent quasiment rien mis à par le nécessaire: IIS / sql server...

Donc comment ces malwares peuvent s'y retrouver installés ?
Avatar de Lutarez Lutarez - Membre chevronné https://www.developpez.com
le 16/12/2013 à 18:07
Citation Envoyé par imikado  Voir le message
Une chose que je n'ai pas saisi: le malware doit avoir été installé sur le serveur, c'est bien ça ?

Mais les serveurs sous windows sont utilisés avec parcimonie: les administrateurs n'y installent quasiment rien mis à par le nécessaire: IIS / sql server...

Donc comment ces malwares peuvent s'y retrouver installés ?

C'est exactement ça. Et encore, la plupart des fonctionnalités s'installent directement via le server manager qui agit un peu comme un gestionnaire de paquet sous Linux. Du coup, niveau impact, je trouve ça très limité.
Offres d'emploi IT
Développeur silverlight (h/f)
MCNEXT - Ile de France - Paris (75002)
Trade Marketer Junior M/F
Philips - Ile de France - Suresnes
Développeur full stack ruby h/f
LZRECRUITING - Ile de France - Paris (75009)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil