Serie de ataques a servidores IIS de Microsoft

AS-078-2021

Fecha: 03/Agosto/2021

Resumen:

Un grupo denominado "Praying Mantis" ha estado apuntando a las principales entidades públicas y privadas de alto perfil en los EE. UU, como parte de una serie de ataques de intrusión cibernética para infiltrarse en sus redes mediante la explotación de servidores de Microsoft Internet Information Services ( IIS ).

La firma israelí de ciberseguridad Sygnia identificó que el grupo utiliza un malware personalizado, construido alrededor de un núcleo común, hecho a medida para los servidores IIS. El conjunto de herramientas es completamente volátil, se carga de manera reflectante en la memoria de una máquina afectada y deja poco o ningún rastro en los objetivos infectados. Además, el grupo también utiliza una puerta trasera y varios módulos posteriores a la explotación para realizar el reconocimiento de la red, elevar los privilegios y moverse lateralmente dentro de las redes.

Las vulnerabilidades que aprovechan los atacantes incluyen:

• Checkbox Survey RCE Exploit (CVE-2021-27852)
• VIEWSTATE Deserialization Exploit
• Altserialization Insecure Deserialization
• Telerik-UI Exploit (CVE-2019-18935 and CVE-2017-11317)

Es importante aplicar los parches de seguridad de los fabricantes, además de sanitizar la deserialización que emplean los aplicativos web que se construyen utilizando ASP.NET.

Referencia:

https://thehackernews.com/2021/08/new-apt-hacking-group-targets-microsoft.html