ΑρχικήSecurityMicrosoft: Οι επεκτάσεις IIS χρησιμοποιούνται ως backdoors του Exchange

Microsoft: Οι επεκτάσεις IIS χρησιμοποιούνται ως backdoors του Exchange

Σύμφωνα με τη Microsoft, οι κακόβουλοι παράγοντες χρησιμοποιούν όλο και πιο συχνά τις κακόβουλες επεκτάσεις διακομιστή ιστού των Υπηρεσιών Πληροφοριών Διαδικτύου (IIS) σε μη επιδιορθωμένους διακομιστές Exchange ως backdoor, καθώς έχουν χαμηλότερα ποσοστά ανίχνευσης σε σύγκριση με τα web shells.

Δείτε επίσης: Το νέο Linux malware Lightning Framework εγκαθιστά rootkits, backdoors

backdoors

Επειδή είναι κρυμμένα βαθιά μέσα στους παραβιασμένους διακομιστές και συχνά είναι πολύ δύσκολο να εντοπιστούν, ενώ χρησιμοποιούν την ίδια δομή με τις νόμιμες μονάδες, παρέχουν στους εισβολείς έναν τέλειο και ανθεκτικό μηχανισμό επιμονής.

Οι φορείς απειλών σπάνια αναπτύσσουν τέτοιες κακόβουλες επεκτάσεις, αφού θέσουν σε κίνδυνο έναν διακομιστή χρησιμοποιώντας εκμεταλλεύσεις για διάφορα ελαττώματα ασφαλείας, που δεν έχουν επιδιορθωθεί σε μια φιλοξενούμενη εφαρμογή.

#secnews #comet 

Ο κομήτης C/2024 S1 μπορεί να είναι ορατός με γυμνό μάτι. Καθ' όλη τη διάρκεια του πρώτου μισού του Οκτωβρίου, ένας εξαιρετικά φωτεινός κομήτης, γνωστός ως Tsuchinshan-ATLAS, θα είναι ορατός με γυμνό μάτι σε μέρη του ουρανού αργά τη νύχτα και νωρίς το πρωί. Ωστόσο, ένας ακόμα κομήτης που ανακαλύφθηκε πιο πρόσφατα, μπορεί επίσης να είναι ορατός και είναι γνωστός ως C/2024 S1. Οι αστρονόμοι μόλις ανακάλυψαν έναν δεύτερο κομήτη, τον C/2024 S1 (ATLAS), ο οποίος θα κάνει επίσης την πλησιέστερη προσέγγισή του στον πλανήτη μας αυτόν τον μήνα και ενδεχομένως να είναι ορατός χωρίς τηλεσκόπιο.

00:00 Εισαγωγή
00:34 Νέος κομήτης
01:09 Λίγες πληροφορίες
01:29 Πλησιέστερη προσέγγιση

Μάθετε περισσότερα: https://www.secnews.gr/624490/komitis-c-2024-s1-mporouse-einai-oratos-gimno-mati/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #comet

Ο κομήτης C/2024 S1 μπορεί να είναι ορατός με γυμνό μάτι. Καθ' όλη τη διάρκεια του πρώτου μισού του Οκτωβρίου, ένας εξαιρετικά φωτεινός κομήτης, γνωστός ως Tsuchinshan-ATLAS, θα είναι ορατός με γυμνό μάτι σε μέρη του ουρανού αργά τη νύχτα και νωρίς το πρωί. Ωστόσο, ένας ακόμα κομήτης που ανακαλύφθηκε πιο πρόσφατα, μπορεί επίσης να είναι ορατός και είναι γνωστός ως C/2024 S1. Οι αστρονόμοι μόλις ανακάλυψαν έναν δεύτερο κομήτη, τον C/2024 S1 (ATLAS), ο οποίος θα κάνει επίσης την πλησιέστερη προσέγγισή του στον πλανήτη μας αυτόν τον μήνα και ενδεχομένως να είναι ορατός χωρίς τηλεσκόπιο.

00:00 Εισαγωγή
00:34 Νέος κομήτης
01:09 Λίγες πληροφορίες
01:29 Πλησιέστερη προσέγγιση

Μάθετε περισσότερα: https://www.secnews.gr/624490/komitis-c-2024-s1-mporouse-einai-oratos-gimno-mati/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LmN1MVA2VDBYcVJJ

Ο κομήτης C/2024 S1 μπορεί να είναι ορατός με γυμνό μάτι

SecNewsTV 16 hours ago

Συνήθως αναπτύσσονται μετά την ανάπτυξη ενός web shell ως το πρώτο ωφέλιμο φορτίο στην επίθεση. Η λειτουργική μονάδα IIS αναπτύσσεται αργότερα για να παρέχει πιο κρυφή και επίμονη πρόσβαση στον παραβιασμένο διακομιστή.

Η Microsoft ανακάλυψε παλιότερα την εγκατάσταση προσαρμοσμένων backdoors IIS μετά την εκμετάλλευση των τρωτών σημείων του ZOHO ManageEngine ADSelfService Plus και του SolarWinds Orion.

Δείτε ακόμα: Backdoors και ευπάθειες ανακαλύφθηκαν στα routers FiberHome

Μετά την ανάπτυξη, οι κακόβουλες μονάδες IIS επιτρέπουν στους παράγοντες απειλών να συλλέγουν διαπιστευτήρια από τη μνήμη του συστήματος, να συλλέγουν πληροφορίες από το δίκτυο των θυμάτων και τις μολυσμένες συσκευές και να παρέχουν περισσότερα ωφέλιμα φορτία.

επεκτάσεις IIS

Πιο πρόσφατα, σε μια καμπάνια μεταξύ Ιανουαρίου και Μαΐου 2022 που στόχευε διακομιστές Microsoft Exchange, οι εισβολείς ανέπτυξαν κακόβουλες επεκτάσεις IIS για να αποκτήσουν πρόσβαση στα email των θυμάτων, να εκτελέσουν εντολές από απόσταση και να κλέψουν διαπιστευτήρια και εμπιστευτικά δεδομένα.

Μετά από μια περίοδο αναγνώρισης, απόρριψης διαπιστευτηρίων και καθιέρωσης μιας μεθόδου απομακρυσμένης πρόσβασης, οι εισβολείς εγκατέστησαν ένα προσαρμοσμένο backdoor IIS που ονομάζεται FinanceSvcModel.dll στο φάκελο C:\inetpub\wwwroot\bin\“, πρόσθεσε η Microsoft.

Το backdoor είχε ενσωματωμένη δυνατότητα εκτέλεσης λειτουργιών διαχείρισης του Exchange, όπως απαρίθμηση εγκατεστημένων λογαριασμών γραμματοκιβωτίου και εξαγωγή γραμματοκιβωτίων.

Δείτε επίσης: MoFi routers με backdoors θέτουν σε κίνδυνο τους χρήστες

Για να αμυνθούν από επιθέσεις που χρησιμοποιούν κακόβουλες μονάδες IIS, η Microsoft συμβουλεύει τους πελάτες να διατηρούν ενημερωμένους τους διακομιστές Exchange, να έχουν ενεργοποιημένες λύσεις κατά του κακόβουλου λογισμικού, να ελέγχουν ευαίσθητους ρόλους και ομάδες, να περιορίζουν την πρόσβαση σε εικονικούς καταλόγους IIS, να δίνουν προτεραιότητα στις ειδοποιήσεις και να επιθεωρούν τα αρχεία διαμόρφωσης και φακέλους bin.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS