Après les vulnérabilités ProxyLogon relatives aux serveurs Exchange qui ont empoisonné la vie des responsables sécurité en 2021, un autre type de serveur très répandu de Microsoft fait face à une nouvelle menace. Le serveur web IIS de la firme de Redmond peut en effet être compromis par un backdoor découvert par Kaspersky. Baptisé SessionManager, ce dernier a été utilisé contre des organisations non gouvernementales, des Etats ainsi que des organisations militaires et industrielles en en Afrique, Amérique du Sud, Asie et Moyen-Orient mais aussi en Europe et en Russie. « Fin avril 2022, la plupart des échantillons que nous avons identifiés n'étaient toujours pas signalés comme malveillants dans un service d'analyse de fichiers en ligne populaire, et SessionManager était toujours déployé dans plus de 20 organisations », explique Pierre Delcher, chercheur en sécurité senior chez Kaspersky.
L'éditeur de sécurité russe indique avoir identifié 34 serveurs compromis par une variante de SessionManager, appartenant à 24 organisations distinctes en Argentine, Arménie, Chine, Djibouti, Guinée équatoriale, Eswatini, Hong Kong, Indonésie, Kenya, Koweït, Malaisie, Nigéria, Pakistan, Pologne, la Fédération de Russie, l'Arabie saoudite, Taïwan, la Thaïlande, la Turquie, le Royaume-Uni et le Vietnam. En termes d'attribution, des éléments d'analyse convergent sur le cybergang Gelsemium, actif depuis 2014 et dont les cibles sont situées principalement en Asie et au Moyen-Orient.
Collecte de mots de passe et activation de commandes malveillantes
SessionManager est un module IIS malveillant en code natif dont le but est d'être chargé par certaines applications IIS, pour traiter des requêtes HTTP légitimes qui sont envoyées en continu au serveur, explique l'éditeur en sécurité. Ce type de module constitue un point d'entrée idéal pour ensuite envoyer des requêtes HTTP malveillantes pouvant aller jusqu'à une prise de contrôle total d'un système par un attaquant distant.
Léger et écrit en C#, SessionManager dispose des capacités suivantes : lecture, écriture et suppression de fichiers arbitraires sur le serveur compromis. Exécution de binaires arbitraires à partir du serveur compromis via de l'exécution de commandes distantes. Établissement de connexions à des points de terminaison de réseau arbitraires qui peuvent être atteints par le serveur compromis avec possibilité de lecture/écriture. « Une fois déployé, SessionManager est exploité par les opérateurs pour mieux profiler l'environnement ciblé, collecter des mots de passe en mémoire et déployer des outils supplémentaires. Notamment, les opérateurs ont utilisé la fonctionnalité Powershell WebClient à partir d'une commande d'exécution à distance SessionManager pour télécharger à partir de l'adresse IP du serveur 202.182.123[.]185 », poursuit Pierre Delcher.
Des recommandations à suivre
« Dans tous les cas, nous ne saurions trop insister sur le fait que les serveurs IIS doivent subir un processus d'enquête complet et dédié après la gigantesque opportunité que les vulnérabilités de type ProxyLogon ont exposée, à partir de 2021 », souligne Kaspersky. « Les modules IIS chargés peuvent être répertoriés pour une instance IIS en cours d'exécution à l'aide du gestionnaire IIS.GUI ou à partir de la ligne de commande IIS appcmd ».
En cas de module malveillant détecté, l'éditeur recommande de prendre un snapshot de la mémoire volatile sur le système en cours d'exécution sur lequel IIS est exécuté, d'arrêter le serveur et de le déconnecter du système sous-jacent des réseaux accessibles au public. De sauvegarder tous les fichiers et logs de l'environnement IIS et de vérifier l'intégrité de cette sauvegarde. « À l'aide du gestionnaire des services Internet ou de l'outil de commande appcmd, supprimez toutes les références du module identifié des applications et des configurations de serveur », indique Kaspersky. « Examinez manuellement les fichiers de configuration XML IIS associés pour vous assurer que toute référence aux modules malveillants a été supprimée. Sinon, supprimez manuellement les références dans les fichiers XML ». Enfin - et comme toujours - s'assurer que les dernières mises à jour systèmes et applicatives ont bien été effectuées.