Trustwave découvre un malware pour les serveurs IIS
Qui permet à un hacker d'accéder au contenu des requêtes HTTP POST des utilisateurs
Le 2013-12-12 18:42:44, par Cedric Chevalier, Expert éminent sénior
Trustwave, la firme de sécurité qui a démasqué la nouvelle version du malware Pony (responsable du vol de 2 000 000 de mots de passe) vient de découvrir un nouveau malware baptisé ISN, qui cible principalement les serveurs IIS de Microsoft (IIS6 32-Bit, IIS6 64-Bit, IIS7+ 32-Bit, IIS7+ 64-Bit).
Le malware est déployé par un fichier exécutable (installeur) comme un module (bibliothèque de liaison dynamique) d’IIS. Le module opère en interceptant les requêtes POST http des clients qu’il enregistre ensuite dans un fichier log sur le disque qu’un hacker distant peut consulter (avec une simple requête GET du fichier log). Un mécanisme ingénieux qui peut être utilisé pour subtiliser les mots de passe, les noms d’utilisateurs ainsi que les numéros de cartes de crédit pour les sites d’e-commerce.
Le chiffrement ne constitue en rien une méthode de protection efficace contre ISN, puisque le malware installé dans le serveur a accès aux données de la requête POST en clair.
Pour l’instant, seul l’installeur du malware est détecté par les solutions anti-virus majeures du marché (le module quant à lui, non). Et même dans ce cas, il s’agit d’analyse heuristique. En effet, à ce jour les signatures d’ISN ne sont pas encore disponibles. Ainsi, il est extrêmement difficile de donner une carte d’infection précise du malware. Quelques serveurs seulement sont répertoriés. On espère seulement que l’infection est bénigne.
Source : Trustwave
Et vous ?
Le malware est déployé par un fichier exécutable (installeur) comme un module (bibliothèque de liaison dynamique) d’IIS. Le module opère en interceptant les requêtes POST http des clients qu’il enregistre ensuite dans un fichier log sur le disque qu’un hacker distant peut consulter (avec une simple requête GET du fichier log). Un mécanisme ingénieux qui peut être utilisé pour subtiliser les mots de passe, les noms d’utilisateurs ainsi que les numéros de cartes de crédit pour les sites d’e-commerce.
Le chiffrement ne constitue en rien une méthode de protection efficace contre ISN, puisque le malware installé dans le serveur a accès aux données de la requête POST en clair.
Pour l’instant, seul l’installeur du malware est détecté par les solutions anti-virus majeures du marché (le module quant à lui, non). Et même dans ce cas, il s’agit d’analyse heuristique. En effet, à ce jour les signatures d’ISN ne sont pas encore disponibles. Ainsi, il est extrêmement difficile de donner une carte d’infection précise du malware. Quelques serveurs seulement sont répertoriés. On espère seulement que l’infection est bénigne.
Source : Trustwave
Et vous ?
-
imikadoRédacteurUne chose que je n'ai pas saisi: le malware doit avoir été installé sur le serveur, c'est bien ça ?
Mais les serveurs sous windows sont utilisés avec parcimonie: les administrateurs n'y installent quasiment rien mis à par le nécessaire: IIS / sql server...
Donc comment ces malwares peuvent s'y retrouver installés ?le 16/12/2013 à 12:36 -
Bestel74Membre confirméDécouvrir ça pendant les fête de noël ça fait froid dans le dos !
Avec toutes les commandes qui ont été passées
J'ai hâte de savoir comment il fonctionne !!le 16/12/2013 à 10:21 -
LutarezMembre chevronnéC'est exactement ça. Et encore, la plupart des fonctionnalités s'installent directement via le server manager qui agit un peu comme un gestionnaire de paquet sous Linux. Du coup, niveau impact, je trouve ça très limité.le 16/12/2013 à 18:07