Selon les informations de Bleeping Computer, le groupe de pirates informatiques Lazarus, connu pour ses liens avec l’État nord-coréen, utilise une méthode d’intrusion consistant à cibler les serveurs web Windows Internet Information Service (IIS) pour propager des logiciels malveillants.
Dans une alerte, l’éditeur slovaque, Eset, nous rappelle que IIS est la solution de serveur web de Microsoft couramment utilisée pour héberger des sites web et des services d’application, tels qu’Outlook de Microsoft Exchange. Les experts en sécurité sud-coréens de l’ASEC ont déjà signalé que Lazarus se concentrait sur les serveurs IIS pour obtenir un accès initial aux réseaux d’entreprise. Cependant, aujourd’hui, la société de cybersécurité rapporte que ce groupe menace exploite également des services IIS insuffisamment sécurisés pour disséminer des logiciels malveillants. “L’avantage principal de cette approche réside dans sa facilité à infecter les visiteurs de sites web ou les utilisateurs de services hébergés sur ces serveurs IIS détournés, qui appartiennent généralement à des organisations de confiance.“, précise l’éditeur.
Respecter l’état de l’art des déploiements
Pour Benoit Grunemwald, expert Cybersécurité chez ESET France, le recours à des serveurs IIS légitimes mais vulnérables, par défaut dignes de confiance, est un moyen astucieux de pénétrer dans les systèmes d’information des organisations et de diffuser des logiciels malveillants aux visiteurs de ces serveurs. “Au-delà des recommandations de mise à jour habituelles et de surveillance des comportements systèmes, réseaux et utilisateurs, précise-t-il, il est bon de rappeler que le déploiement dans le respect de l’état de l’art est primordial pour ne pas introduire de vulnérabilités supplémentaires. Le principe du zéro trust devrait être appliqué à tous et en toutes circonstances. Lorsqu’un simple site ou une application tente d’exécuter un logiciel sur votre machine, la plus grande prudence est de rigueur, même si le site semble digne de confiance. »
Félix Marcel
