Encuentran una puerta trasera extremadamente misteriosa en Windows IIS

Encuentran una puerta trasera extremadamente misteriosa en Windows IIS
Encuentran una puerta trasera extremadamente misteriosa en Windows IIS

Investigadores de seguridad cibernética de Symantic han descubierto un malware inusual que extrae datos en computadoras con Windows y permite la ejecución de código arbitrario.

El programa está integrado en Microsoft Internet Information Services (IIS) y crea una puerta trasera a través de la cual se puede interceptar el tráfico.

IIS es un servidor web de propósito general en las computadoras con Windows. Acepta solicitudes de clientes remotos y devuelve respuestas. Según Netcraft, en julio de 2021 había 51,6 millones de instancias de IIS que se ejecutaban en 13,5 millones de dominios únicos.

10 Hackers Informáticos más Importantes de la Historia

El servidor tiene una función llamada almacenamiento en búfer de eventos de solicitud fallida (FREB), que se utiliza para diagnosticar errores y recopilar datos sobre solicitudes web de clientes remotos: Sus direcciones IP, puertos, encabezados HTTP y cookies.

Al depurar, el administrador extrae solicitudes que coinciden con ciertos criterios del búfer y las escribe en el disco. Esto ayuda, por ejemplo, a solucionar las causas de los errores 401 (no autorizado) y 404 (no encontrado) así como solicitudes suspendidas o canceladas.

Los atacantes desconocidos descubrieron cómo explotar la función FREB para enviar y ejecutar código malicioso y extraer datos en un área protegida de una red comprometida: El mecanismo se combina con solicitudes legítimas y proporciona un nuevo nivel de penetración en la red.

6 Mejores Lenguajes de Programación para Criptografía 2024

El software que opera este método recibió el nombre de Frebniis: Enciende FREB en la computadora, intercepta la ejecución de la función, inyecta código malicioso en la memoria del proceso IIS y lo inicia.

Esto permite que el programa controle todas las solicitudes HTTP al servidor. No se crean archivos en el sistema, ni se inician procesos sospechosos en la memoria, por lo que Frebniis es único a su manera.

Frebniis rastrea todas las solicitudes HTTP POST a los archivos logon.aspx o default.aspx y permite a los atacantes agregarles nuevos parámetros, por ejemplo, un valor de contraseña. Si se otorga acceso, Frebniis descifra y ejecuta el código .NET que controla todas las funciones de la puerta trasera, sin guardar ningún archivo en el disco.

10 Principales Tendencias Laborales de Hacking Ético 2024

Este código inicia primero un proxy que permite que un servidor IIS comprometido interactúe o se comunique con recursos internos a los que no se puede acceder directamente desde Internet. En segundo lugar, ofrece la ejecución de código arbitrario en IIS: Al enviar una solicitud con código C# a los archivos logon.aspx o default.aspx.

Frebniis decodifica automáticamente el código y lo ejecuta directamente en la RAM, donde es extremadamente difícil encontrarlo; todavía no está claro qué tan extendido está Frebniis en la actualidad.

¿Quién es Kevin Mitnick? Conociendo al hacker más buscado de la historia

Relacionado

Zoom corrige Falla Crítica de Elevación de Privilegios en Aplicaciones de Windows

Los clientes VDI y de escritorio de Zoom y el SDK de Meeting para Windows son vulnerables a una falla de validación de entrada incorrecta que podría permitir que un atacante no autenticado lleve a cabo una escalada de privilegios en el sistema de destino a ¡SEGUIR LEYENDO!

WordPress: Graves Errores Detectados en el Complemento Ninja Forms, 1 millón de sitios afectados

Las vulnerabilidades detectadas en el complemento Ninja Forms para WordPress, instalado en más de un millón de sitios, pueden conducir a un asalto completo del sitio si no se repara antes de un posible ataque. Wordfence detectó un total de cuatro vulnerabilidades en el complemento de ¡SEGUIR LEYENDO!

VMware insta a los Administradores a eliminar este Complemento de Autenticación

VMware instó hoy a los administradores a eliminar un complemento de autenticación descontinuado expuesto a ataques de retransmisión de autenticación y secuestro de sesión en entornos de dominio de Windows a través de dos vulnerabilidades de seguridad que no se han parcheado. El vulnerable complemento de ¡SEGUIR LEYENDO!

Subdominios Secuestrados de Marcas Importantes utilizados en Campaña Masiva de Spam

Una campaña masiva de fraude publicitario llamada "SubdoMailing" utiliza más de 8.000 dominios de Internet legítimos y 13.000 subdominios para enviar hasta cinco millones de correos electrónicos por día para generar ingresos a través de estafas y publicidad maliciosa. La campaña se llama "SubdoMailing", ya que ¡SEGUIR LEYENDO!

SolarWinds corrige Errores Críticos de RCE en la Solución de Auditoría de Derechos de Acceso

SolarWinds ha solucionado cinco fallas de ejecución remota de código (RCE) en su solución Access Rights Manager (ARM), incluidas tres vulnerabilidades de gravedad crítica que permiten una explotación no autenticada. Access Rights Manager permite a las empresas gestionar y auditar los derechos de acceso en toda ¡SEGUIR LEYENDO!