Microsoft meddeler, at Internet Information Services (IIS), som er et webserver-produkt fra Microsoft, i stigende grad bliver brugt af angribere som indgang til Exchange-servere.
Det fremgår af et blogindlæg fra virksomheden.
"IIS-bagdøre er også sværere at opdage, da de for det meste ligger i de samme mapper som legitime moduler, der anvendes af målapplikationer, og de følger den samme kodestruktur som rene moduler," skriver Microsoft 365 Defender Research Team.
Ofte udnytter hackerne en kritisk sårbarhed i den hostede applikation til at få adgang.
Derefter kører de en script-webshell. Dernæst installerer angriberne en IIS-bagdør for at give skjult og vedvarende adgang til serveren.
Microsofts sikkerhedsefterforskere forventer, at tendensen vil fortsætte.
Det anbefales som altid, at man sørger for at installere alle relevante patches samt at have ordentlig sikkerhedssoftware.
"Identificer og afhjælp sårbarheder eller fejlkonfigurationer, der påvirker servere. Implementer de seneste sikkerhedsopdateringer, især til serverkomponenter som Exchange, så snart de bliver tilgængelige," skriver sikkerhedsefterforskerne og fortsætter:
"Det er afgørende at beskytte servere med Windows antivirussoftware og andre sikkerhedsløsninger som firewallbeskyttelse og MFA."
Det anbefales også at gennemgå privilegerede grupper som administratorer, fjernbrugere og virksomhedsadministratorer, da angribere tilføjer konti under disse grupper for at få adgang til en server.
