La porte dérobée SessionManager déployée sur des serveurs Microsoft IIS
D'après Kaspersky, une nouvelle porte dérobée baptisée SessionManager cible les serveurs IIS sous Windows. À ce jour, plus d'une vingtaine d'organisations ont pu être compromises par cette menace.
Kaspersky a identifié 34 serveurs compromis par une souche malveillante nommée SessionManager, au sein d'organisations non gouvernementales, d'organisations militaires ainsi que des États, dans différents pays du monde. Sur son site, Kaspersky fournit la liste suivante : Argentine, Arménie, Chine, Djibouti, Guinée équatoriale, Eswatini, Hong Kong, Indonésie, Kenya, Koweït, Malaisie, Nigéria, Pakistan, Pologne, la Fédération de Russie, l'Arabie saoudite, Taïwan, la Thaïlande, la Turquie, le Royaume-Uni et le Vietnam. Même si la France n'est pas dans cette liste, cette menace semble toucher les différentes régions du monde. Le groupe de cybercriminels Gelsemium, actif depuis 2014, serait à l'origine de cette campagne d'attaques.
SessionManager est un module IIS qui vous veut du mal ! Ecrit en C#, il vient se greffer sur votre serveur IIS dans le but de traiter les commandes reçues par les cybercriminels au travers de requêtes malveillantes. Sur le serveur compromis, ce module peut lire, écrire et supprimer des fichiers, mais également exécuter des binaires. Grâce aux différentes actions possibles, le pirate peut prendre le contrôle total du serveur IIS compromis avec cette porte dérobée qui est idéale pour agir sur l'environnement ciblé.
Kaspersky recommande de surveiller de près les modules chargés par votre serveur IIS, notamment si vous avez un serveur Exchange car de nombreux serveurs étaient vulnérables aux failles de sécurité ProxyLogon : "Les modules IIS chargés peuvent être répertoriés pour une instance IIS en cours d'exécution à l'aide du gestionnaire IIS.GUI ou à partir de la ligne de commande IIS appcmd".
Pour se protéger, il convient de maintenir son système d'exploitation à jour, mais également de maintenir les applicatifs à jour, comme Microsoft Exchange. Fin 2021, un autre module malveillant pour IIS, nommé "Owowa" était utilisé par les pirates pour dérober des identifiants sur les serveurs Exchange étant donné que le Webmail d'Outlook s'appuie sur un site IIS.
