IIS est la solution de serveur web de Microsoft utilisée pour héberger des sites web ou des services d’application, tels que Outlook de Microsoft Exchange.

Les analystes de sécurité sud-coréens de l’ASEC ont précédemment signalé que Lazarus ciblait les serveurs IIS pour obtenir un accès initial aux réseaux d’entreprise.

Aujourd’hui, la société de cybersécurité indique que le groupe de menace exploite également les services IIS mal protégés pour distribuer des logiciels malveillants. Le principal avantage de cette technique est qu’il est facile d’infecter les visiteurs de sites web ou les utilisateurs de services hébergés sur des serveurs IIS détpournés, appartenant à des organisations dignes de confiance.

Benoit Grunemwald - Expert en Cybersécurité chez ESET France réagit :

« Le recours à des serveurs IIS légitimes mais vulnérables, par défaut dignes de confiance, est un moyen astucieux de pénétrer dans les systèmes d’information des organisations et de diffuser des logiciels malveillants aux visiteurs de ces serveurs.

Au-delà des recommandations de mise à jour habituelles et de surveillance des comportements systèmes, réseaux et utilisateurs, il est bon de rappeler que le déploiement dans le respect de l’état de l’art est primordial pour ne pas introduire de vulnérabilités supplémentaires.

Le principe du zéro trust devrait être appliqué à tous et en toutes circonstances. Lorsqu’un simple site ou une application tente d’exécuter un logiciel sur votre machine, la plus grande prudence est de rigueur, même si le site semble digne de confiance. »

 »