Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Trustwave découvre un malware pour les serveurs IIS
Qui permet à un hacker d'accéder au contenu des requêtes HTTP POST des utilisateurs

Le , par Cedric Chevalier

42PARTAGES

3  0 
Trustwave, la firme de sécurité qui a démasqué la nouvelle version du malware Pony (responsable du vol de 2 000 000 de mots de passe) vient de découvrir un nouveau malware baptisé ISN, qui cible principalement les serveurs IIS de Microsoft (IIS6 32-Bit, IIS6 64-Bit, IIS7+ 32-Bit, IIS7+ 64-Bit).

Le malware est déployé par un fichier exécutable (installeur) comme un module (bibliothèque de liaison dynamique) d’IIS. Le module opère en interceptant les requêtes POST http des clients qu’il enregistre ensuite dans un fichier log sur le disque qu’un hacker distant peut consulter (avec une simple requête GET du fichier log). Un mécanisme ingénieux qui peut être utilisé pour subtiliser les mots de passe, les noms d’utilisateurs ainsi que les numéros de cartes de crédit pour les sites d’e-commerce.






Le chiffrement ne constitue en rien une méthode de protection efficace contre ISN, puisque le malware installé dans le serveur a accès aux données de la requête POST en clair.

Pour l’instant, seul l’installeur du malware est détecté par les solutions anti-virus majeures du marché (le module quant à lui, non). Et même dans ce cas, il s’agit d’analyse heuristique. En effet, à ce jour les signatures d’ISN ne sont pas encore disponibles. Ainsi, il est extrêmement difficile de donner une carte d’infection précise du malware. Quelques serveurs seulement sont répertoriés. On espère seulement que l’infection est bénigne.

Source : Trustwave

Et vous ?

Quelles sont, d'après vous, les chances que le domaine d'infection du malware soit plus important ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de imikado
Rédacteur https://www.developpez.com
Le 16/12/2013 à 12:36
Une chose que je n'ai pas saisi: le malware doit avoir été installé sur le serveur, c'est bien ça ?

Mais les serveurs sous windows sont utilisés avec parcimonie: les administrateurs n'y installent quasiment rien mis à par le nécessaire: IIS / sql server...

Donc comment ces malwares peuvent s'y retrouver installés ?
2  0 
Avatar de Bestel74
Membre confirmé https://www.developpez.com
Le 16/12/2013 à 10:21
Découvrir ça pendant les fête de noël ça fait froid dans le dos !
Avec toutes les commandes qui ont été passées

J'ai hâte de savoir comment il fonctionne !!
0  0 
Avatar de Lutarez
Membre chevronné https://www.developpez.com
Le 16/12/2013 à 18:07
Citation Envoyé par imikado Voir le message
Une chose que je n'ai pas saisi: le malware doit avoir été installé sur le serveur, c'est bien ça ?

Mais les serveurs sous windows sont utilisés avec parcimonie: les administrateurs n'y installent quasiment rien mis à par le nécessaire: IIS / sql server...

Donc comment ces malwares peuvent s'y retrouver installés ?
C'est exactement ça. Et encore, la plupart des fonctionnalités s'installent directement via le server manager qui agit un peu comme un gestionnaire de paquet sous Linux. Du coup, niveau impact, je trouve ça très limité.
0  0