Les serveurs Web sont à la pointe de la cybersécurité d’une entreprise. Des erreurs de configuration peuvent donner accès à des données confidentielles. Dans le pire des cas, le serveur accepte les fichiers externes d’utilisateurs non autorisés, permettant aux cybercriminels de soumettre et d’exécuter du code.
Le format du code diffère selon l’attaque. Les shells Web sont les plus courants. Un shell Web est un petit fichier contenant des instructions écrites dans un langage de programmation courant. Le shell Web demande à un serveur d’exécuter des commandes. Pensez à une commande qui récupère des données, exécute une application ou enregistre un utilisateur.
Les shells Web sont extrêmement populaires. C’est pourquoi la plupart des outils de sécurité savent reconnaître et obstruer le code. Les cybercriminels recherchent de toutes nouvelles méthodes pour rester sous le radar. Avec succès, déclare Microsoft. Le géant de la technologie alerte sur l’augmentation des extensions IIS destructrices, une option pour les shells Web.
Extensions IIS et cybersécurité
Internet Details Provider (IIS) est l’une des applications logicielles les plus populaires pour serveurs Web. IIS fonctionne sur Windows Server et est équivalent à Apache, Cloudflare Server et LiteSpeed.
En plus des mises à jour majeures des applications logicielles, IIS reçoit fréquemment de nouvelles extensions. Les extensions ajoutent des outils optionnels. Par exemple, le « Pack d’administration » fournit une interface utilisateur visuelle pour les fonctions de gestion.
Selon Microsoft, les extensions IIS destructrices sont très courantes. Les cybercriminels déguisent un code nuisible dans une extension IIS. En un coup d’œil, le code fonctionne comme une extension IIS, mais en réalité, le code prend des informations sensibles et des journaux. Bien que les shells Web atteignent le même objectif, les extensions IIS malveillantes peuvent être plus difficiles à détecter.
Procédures
Le géant de la technologie exhorte les administrateurs de serveur Web IIS à maintenir chaque application serveur à jour. Tout comme les shells Web, les extensions IIS malveillantes nécessitent une vulnérabilité ou une mauvaise configuration pour entrer. La mise à jour du logiciel élimine la majorité du danger.
Microsoft conseille en outre d’examiner régulièrement si des comptes suspects apparaissent dans les groupes d’utilisateurs d’un serveur. Les cybercriminels ajoutent généralement de tout nouveaux comptes à des groupes qui accordent une autorisation de haut niveau.
Microsoft a partagé un aperçu des processus et fichiers IIS destructeurs sur son site Web, que les administrateurs peuvent utiliser pour rechercher des comportements suspects.
Toute l’actualité en temps réel, est sur L’Entrepreneur
