Een nieuw en moeilijk te herkennen achterpoortje geeft hackers blijvende toegang tot gekraakte Exchange-servers.
Hackers die zich een weg naar binnen banen op een Microsoft Exchange-server, gebruiken een nieuwe achterpoort die hen persistente toegang geeft. Dat ontdekten beveiligingsonderzoekers van Kaspersky, die de backdoor de naam SessionManager geven. De malware vermomt zich als een legitieme module voor de veel gebruikte Internet Information Services: een web server die standaard op Exchange-servers staat geïnstalleerd.
Onschuldig op het eerste gezicht
Session Manager ziet er uit als een normaal component op de servers, maar geeft aanvallers toegang vanop afstand. Zij kunnen onschuldig ogende http-requests naar de malware sturen, die de requests vervolgens vertaalt naar malafide code. Zo hebben aanvallers in de praktijk de totale controle over de server. De command en control-instructies worden echter niet zomaar herkend.
SessionManager zelf maakt deel uit van een grotere aanval, waarbij hackers eerst een andere kwetsbaarheid moeten misbruiken om binnen te raken op een server. Daarvoor gebruiken ze in de praktijk ProxyLogon, al houdt niets aanvallers tegen om SessionManager op termijn met andere aanvallen de combineren.
Actief misbruik
Volgens de onderzoekers is de schaal van misbruik momenteel nog bescheiden. Ze ontdekten 34 servers van 24 organisaties die besmet waren sinds maart 2021. Eerder deze maand waren dat er nog 20. SessionManager wordt vooral tegen NGO’s, overheden, militaire en industriële organisaties in EMEA, Azië en ook Rusland gebruikt.
SessionManager verwijderen is niet eenvoudig. Kasperksy raadt aan om externe hulp in te roepen en suggereert om in ieder geval de IIS-server te stoppen en mos te koppelen van achterliggende netwerken.