Fecha de publicación: Mié, 20/09/2023 - 12:34

Aviso de seguridad

Nivel de peligrosidad: Alto

Descripción

El grupo de ciberespionaje y cibercrimen Lazarus ha estado explotando vulnerabilidades en los servidores Microsoft IIS para infectarlos con malware o usarlos para distribuir código malicioso. 

El método de ataque que están utilizando los actores de amenazas se basa en dos técnicas principales: la carga lateral de DLL y el envenenamiento de variables de entorno.

La carga lateral de DLL consiste en aprovechar una característica de Windows que permite a las aplicaciones cargar bibliotecas dinámicas (DLL) desde el mismo directorio donde se encuentra el ejecutable. Los atacantes colocan una DLL maliciosa con el mismo nombre que una DLL legítima en el directorio del servidor Microsoft IIS, y cuando la aplicación intenta cargar la DLL legítima, se carga la DLL maliciosa en su lugar. De esta manera, los atacantes pueden ejecutar código arbitrario en el contexto de la aplicación.

El envenenamiento de variables de entorno consiste en modificar las variables de entorno del sistema operativo para alterar el comportamiento de las aplicaciones. Los atacantes modifican las variables de entorno relacionadas con la carga de DLL, como PATH, COMSPEC o WINDIR, para apuntar a directorios controlados por ellos, donde han colocado DLL maliciosas. Así, cuando una aplicación intenta cargar una DLL desde una de estas variables de entorno, se carga la DLL maliciosa en su lugar.

Estas técnicas permiten a los atacantes evadir los mecanismos de seguridad y antivirus, ya que las aplicaciones comprometidas siguen funcionando normalmente y no muestran signos evidentes de infección. Además, los atacantes pueden utilizar los servidores Microsoft IIS infectados para distribuir malware a otros sistemas o realizar otras actividades maliciosas.

Recursos afectados

Servidores Microsoft IIS que no cuenten con parches de seguridad.

Solución

Actualizar los servidores Microsoft IIS a la útltimas versiones disponibles y aplicar los parches de seguridad correspondientes.

Recomendaciones

Para mejorar la seguridad de sus servidores IIS, ser recomienda:

  • Implemente una gestión de parches eficaz que mantenga el software actualizado con las últimas versiones y parches, idealmente utilizando alguna forma de automatización.
  • Utilice una solución de administración de parches que realice un inventario preciso y completo de todo el software que se ejecuta en su entorno de TI para evitar la pérdida de parches o actualizaciones de la llamada TI en la sombra.
  • Utilice el principio de privilegios mínimos para las cuentas de servicio para que cualquier servicio en sus servidores Microsoft IIS solo se ejecute con los permisos mínimos necesarios.
  • Analice los registros de seguridad de la red de sistemas como sistemas de detección de intrusos, firewalls, herramientas de prevención de pérdida de datos y redes privadas virtuales. Además, analice los registros de los servidores Microsoft IIS y busque mensajes de error inesperados que indiquen intentos de moverse lateralmente o escribir archivos en directorios adicionales.
  • Fortalezca los puntos finales de los usuarios con herramientas especializadas de detección y respuesta de puntos finales que puedan detectar ataques avanzados y técnicas evasivas del tipo en el que se centran los actores de Lazarus.
  • Verifique la funcionalidad de los parches después de aplicarlos porque a veces es posible que un parche no se instale correctamente debido a diversos motivos, como problemas de compatibilidad del sistema, interrupciones durante la instalación o conflictos de software

Referencias

Microsoft IIS bajo ataque activo