Microsoft met en garde contre l’augmentation des attaques web shell

Microsoft affirme que le nombre d’attaques web shell mensuelles a presque doublé depuis l’année dernière, avec en moyenne 140 000 outils malveillants trouvés chaque mois sur des serveurs compromis.

Les Web shell sont des outils (scripts ou programmes) que les pirates informatiques déploient sur des serveurs piratés pour obtenir et/ou maintenir l’accès, ainsi que pour exécuter à distance du code ou des commandes arbitraires, pour se déplacer latéralement au sein du réseau ou encore pour fournir des charges utiles malveillantes supplémentaires.

Ils peuvent être déployés sous une grande variété de formes, comme des plugins d’application, des extraits de code PHP ou ASP injectés dans les applications Web ou encore des programmes conçus pour fournir des fonctionnalités de Web shell et des scripts shell Perl, Python, Ruby et Unix.

«Les dernières données de Microsoft 365 Defender montrent que cette tendance non seulement s’est poursuivie, mais qu’elle s’est accélérée: chaque mois depuis août 2020 jusqu’à janvier 2021, nous avons enregistré en moyenne 140 000 menaces de ce type sur les serveurs», a déclaré Microsoft.

En comparaison, l’équipe de Microsoft Defender Advanced Threat Protection (ATP) a déclaré dans un rapport publié l’année dernière qu’elle détectait en moyenne 77 000 web shell chaque mois, en se basant sur les données collectées à partir d’environ 46 000 appareils distincts.

web shell microsoft

Comment protéger ses produits Microsoft de ces attaques web shell?

Microsoft a également fourni quelques conseils sur la façon de renforcer les serveurs contre les attaques tentant de télécharger et d’installer un Web shell.

Liste des mesures préventives qui devraient empêcher les attaques de Web shell:

  • Identifiez et corrigez les vulnérabilités ou les erreurs de configuration dans les applications Web et les serveurs Web. Utilisez Threat and Vulnerability Management pour découvrir et corriger ces faiblesses. Déployez les dernières mises à jour de sécurité dès qu’elles sont disponibles.
  • Mettez en œuvre une segmentation appropriée de votre réseau, de sorte qu’un serveur Web compromis ne conduise pas à la compromission du réseau de l’entreprise.
  • Activez la protection antivirus sur les serveurs Web. Activez la protection fournie par le cloud pour bénéficier des dernières défenses contre les menaces nouvelles et émergentes. Les utilisateurs ne doivent être en mesure de partager des fichiers que dans des répertoires qui peuvent être analysés par un antivirus et configurés pour ne pas autoriser les scripts ou l’exécution côté serveur.
  • Auditez et examinez fréquemment les logs des serveurs Web. Soyez conscient de tous les systèmes que vous exposez directement à Internet.
  • Utilisez le pare-feu Windows Defender, les dispositifs de prévention des intrusions et votre pare-feu réseau pour empêcher la communication du serveur de commande et de contrôle entre les points de terminaison chaque fois que possible, limitez les mouvements latéraux, ainsi que d’autres activités d’attaque.
  • Vérifiez votre pare-feu de périmètre et votre proxy pour restreindre l’accès inutile aux services, y compris l’accès aux services via des ports non standard.
  • Pratiquez une bonne hygiène de mots de passe. Limitez l’utilisation de comptes avec des privilèges de niveau administrateur local ou de domaine.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires