Jena – Die Sicherheitslücken in Microsoft Exchange haben zu Beginn des Jahres für Sorgenfalten bei vielen IT-Administratoren gesorgt. Denn Hacker konnten die Internet Information Services (IIS) von Microsoft ausnutzen. ESET Forscher haben nun insgesamt zehn bisher unbekannte Malware-Familien analysiert, die als bösartige Erweiterungen für die IIS-Webserver genutzt wurden. Diese unterschiedlichen Bedrohungen zielen sowohl auf Mailboxen von Behörden als auch auf Kreditkartentransaktionen im E-Commerce ab. Dabei können sie die Kommunikation des Servers abhören und manipulieren. Laut den ESET Telemetriedaten haben sich fünf IIS-Backdoors 2021 durch die Ausnutzung der Sicherheitslücke bei Microsoft Exchange verbreitet. Der europäische IT-Sicherheitshersteller veröffentlicht hierzu ein Whitepaper auf WeLiveSecurity.
«Die Internet Information Services-Webserver sind ein beliebtes Ziel für Hacker, sowohl um Schäden anzurichten als auch die Opfer auszuspionieren. Die modulare Architektur der Software bietet Webentwicklern diverse Erweiterungsmöglichkeiten, ist aber auch ein nützliches Werkzeug für Angreifer», sagt Zuzana Hromcová, ESET Forscherin und Autorin des Whitepapers. «Es ist immer noch ziemlich selten, dass Sicherheitssoftware auf IIS-Servern läuft. Angreifer können daher über lange Zeiträume unbemerkt operieren. Dies sollte für alle seriösen Webportale beunruhigend sein, die die Daten ihrer Besucher, einschliesslich Authentifizierungs- und Zahlungsinformationen, schützen wollen. Unternehmen oder Organisationen, die Outlook im Web verwenden, sollten ebenfalls aufpassen. Die Software ist von IIS abhängig und könnte ein interessantes Ziel für Spionage sein.»
Wozu werden die Schadprogramme eingesetzt?
Zu den Betroffenen dieser Malware gehören Regierungen in Südostasien und Dutzende von Unternehmen aus verschiedenen Branchen: vor allem in Kanada, Vietnam und Indien, aber auch in den USA, Neuseeland, Südkorea und anderen Ländern. Die ESET Forscher haben in ihrer Analyse fünf Hauptverwendungszwecke identifiziert, in denen IIS-Malware hauptsächlich operiert:
- IIS-Backdoors ermöglichen den Angreifern die Fernsteuerung des kompromittierten Computers mit installiertem IIS.
- IIS-Infostealer ermöglichen es Hackern, den regulären Datenverkehr zwischen dem infizierten Server und seinen legitimen Besuchern abzufangen und Informationen wie Anmeldedaten und Zahlungsinformationen zu stehlen.
- IIS-Injektors ändern HTTP-Antworten, die an legitime Besucher gesendet werden, um bösartige Inhalte zu liefern.
- IIS-Proxys machen den kompromittierten Server unwissentlich zu einem Teil der Command- und Control-Infrastruktur für eine andere Malware-Familie.
- IIS-Malware verändert den Inhalt, der Suchmaschinen zur Verfügung gestellt wird, um Suchanfragen zu manipulieren und das SEO-Ranking für andere Websites, die für die Angreifer von Interesse sind, zu verbessern.
Was sind Internet Information Services?
IIS ist die Abkürzung für Internet Information Services, ein Webserver von Microsoft. Es handelt sich dabei nicht um eine eigenständige Plattform handelt, sondern um einen in Windows integrierten Dienst. Der IIS stellt alle Funktionen eines Webservers bereit. Damit können Websites gehostet, Webanwendungen verfügbar gemacht und Medien gestreamt werden. Damit ist dieser auch Microsofts Alternative zum Apache Webserver, welcher auf Linux läuft. IIS ist auch eine wichtige Funktion für Microsoft Exchange-Server.
Das Whitepaper «Anatomy of native IIS malware» ist auf WeLiveSecurity verfügbar: https://www.welivesecurity.com/deutsch/2021/08/06/die-anatomie-nativer-iis-malware/ (ESET/mc/ps)