Volgens Microsoft komen IIS-extensies steeds vaker voor in aanvallen op webservers. Web shells blijven het populairst, maar juist daarom gaan IIS-extensies aan de radar voorbij. De techgigant waarschuwt administrators voor de trend.

Webservers zijn leidend voor de cybersecurity van een bedrijf. Misconfiguraties kunnen toegang geven tot vertrouwelijke informatie. In het ergste geval staat de server externe bestanden van ongemachtigde gebruikers toe, waardoor cybercriminelen code kunnen uploaden en uitvoeren.

De functie van de code verschilt per aanval. Web shells komen het vaakste voor. Een web shell is een klein bestandje met instructies, geschreven in een veelvoorkomende programmeertaal. De instructies dragen de server op om commands uit te voeren. Denk aan het ophalen van data, het uitvoeren van een applicatie of het loggen van een gebruiker.

Web shells zijn enorm populair. Vandaar weten de meeste securitytools de code te herkennen en blokkeren. Cybercriminelen zoeken naar nieuwe methodes om onder de radar te blijven. Met succes, zegt Microsoft. De techgigant waarschuwt voor de opkomst van kwaadaardige IIS-extensies, een alternatief voor web shells.

IIS-extensies en cybersecurity

Internet Information Services (IIS) is een van de populairste softwareprogramma’s voor webservers. De software draait op Windows Server. IIS is vergelijkbaar met Apache, Cloudflare Server en LiteSpeed.

Naast grote software-updates ontvangt IIS regelmatig nieuwe extensies. De extensies voegen optionele functies toe. Bijvoorbeeld het ‘Administration Pack’, een extensie met een visueel interface voor managementfuncties.

Volgens Microsoft komen kwaadaardige IIS-extensies steeds vaker voor. Cybercriminelen vermommen kwaadaardige code in een IIS-extensie. In oogopslag werkt de code hetzelfde als een IIS-extensie, maar in werkelijkheid vraagt de code gevoelige data en logs op. Web shells bereiken hetzelfde doel, maar kwaadaardige IIS-extensies zijn lastiger te herkennen.

Maatregelen

De techgigant roept administrators van IIS webservers op om elke serverapplicatie up-to-date te houden. Kwaadaardige IIS-extensies hebben een kwetsbaarheid of misconfiguratie nodig om binnen te komen, net zoals web shells. Het bijwerken van software lost de meeste risico’s op.

Ook adviseert Microsoft om regelmatig te controleren of er verdachte accounts aan de gebruikersgroepen van een server worden toegevoegd. Vaak voegen cybercriminelen nieuwe accounts aan gebruikersgroepen met hoge machtigingen toe.

Tot slot deelde Microsoft op de website een overzicht verdachte IIS-processen en -bestanden, waarmee administrators op verdacht gedrag kunnen scannen.

Tip: Praktijkvoorbeeld: wat te doen als je organisatie gehackt is?