Hackere benytter en ny malware kaldet 'Frebniss' mod Microsofts Internet Information Services (IIS). Frebniss udfører hemmelige kommandoer sendt via webanmodninger.
Det skriver Bleepingcomputer.
Microsoft IIS er en webserversoftware, der virker som en webserver og webapp-hostingplatform for tjenester som Outlook web til Microsoft Exchange.
Hackerne misbruger IIS-funktionen kaldet 'Failed Request Event Buffering' (FREB), som har til formål at samle anmodningsmetadata som IP-adresse, http-headers og cookies. FREB har det formål at hjælpe administratorer med at finde fejl i anmodninger eller http-koder.
Frebniss-malwaren injicerer ondsindet kode i en DLL-fil, der styrer FREB, kaldet iisfreb.dll, hvilket gør hackeren i stand til at overvåge alle http post-anmodninger sendt til ISS-serveren.
Malwaren registrerer derefter de http-anmodninger, hackeren sender, og analyserer dem for at bestemme, hvilke kommandoer der skal udføres på serveren.
Fejlen er opdaget af Symantecs Threat Hunter Team, som fortæller, at angribende aktører først skal bryde med IIS-serveren for at kompromittere FREB, men de kan ikke fastslå hackernes metode til at bryde igennem i første omgang.
"Hvis et http-kald til logon.aspx eller default.aspx modtages uden adgangskodeparameteren, men med Base64-strengen, antages Base64-strengen at være C#-kode, der vil blive eksekveret direkte i hukommelsen," forklarer Symantecs i sin rapport.
