La porte dérobée SessionManager déployée sur des serveurs Microsoft IIS

D'après Kaspersky, une nouvelle porte dérobée baptisée SessionManager cible les serveurs IIS sous Windows. À ce jour, plus d'une vingtaine d'organisations ont pu être compromises par cette menace.

Kaspersky a identifié 34 serveurs compromis par une souche malveillante nommée SessionManager, au sein d'organisations non gouvernementales, d'organisations militaires ainsi que des États, dans différents pays du monde. Sur son site, Kaspersky fournit la liste suivante : Argentine, Arménie, Chine, Djibouti, Guinée équatoriale, Eswatini, Hong Kong, Indonésie, Kenya, Koweït, Malaisie, Nigéria, Pakistan, Pologne, la Fédération de Russie, l'Arabie saoudite, Taïwan, la Thaïlande, la Turquie, le Royaume-Uni et le Vietnam. Même si la France n'est pas dans cette liste, cette menace semble toucher les différentes régions du monde. Le groupe de cybercriminels Gelsemium, actif depuis 2014, serait à l'origine de cette campagne d'attaques.

SessionManager est un module IIS qui vous veut du mal ! Ecrit en C#, il vient se greffer sur votre serveur IIS dans le but de traiter les commandes reçues par les cybercriminels au travers de requêtes malveillantes. Sur le serveur compromis, ce module peut lire, écrire et supprimer des fichiers, mais également exécuter des binaires. Grâce aux différentes actions possibles, le pirate peut prendre le contrôle total du serveur IIS compromis avec cette porte dérobée qui est idéale pour agir sur l'environnement ciblé.

Kaspersky recommande de surveiller de près les modules chargés par votre serveur IIS, notamment si vous avez un serveur Exchange car de nombreux serveurs étaient vulnérables aux failles de sécurité ProxyLogon : "Les modules IIS chargés peuvent être répertoriés pour une instance IIS en cours d'exécution à l'aide du gestionnaire IIS.GUI ou à partir de la ligne de commande IIS appcmd".

Pour se protéger, il convient de maintenir son système d'exploitation à jour, mais également de maintenir les applicatifs à jour, comme Microsoft Exchange. Fin 2021, un autre module malveillant pour IIS, nommé "Owowa" était utilisé par les pirates pour dérober des identifiants sur les serveurs Exchange étant donné que le Webmail d'Outlook s'appuie sur un site IIS.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3946 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.