El comienzo de está práctica de remonta a principios de este mes, detectando expertos en seguridad algunas prácticas contra el servicios IIS de los sistemas operativos Windows, permitiendo el robo de contraseñas almacenadas en texto plano en los archivos de configuración. Para ello se están ayudando de scripts que se ejecutan haciendo uso la aplicación PowerShell que poseen los últimos sistemas operativos de los de Redmond.
Hay que decir que el ataque se produce en equipos que se han visto comprometidos anteriormente, buscando los archivos de configuración de este servicio que está incluido en los últimos sistemas operativos aunque por defecto no está activado.
Los usuarios deberán activarlo si quieren disfrutar de este haciendo uso del menú «Activar características de Windows».
Hay que decir que este módulo muchas veces almacena contraseñas que permiten el acceso a otros programas y viceversa, algo que interesa y muchos a los ciberdelincuentes, de ahí que busquen de alguna forma obtener estas credenciales que por ejemplo permiten la conexión y el manejo de los datos de la base de datos.
El script utilizado por estos para perpetrar el robo se almacena en la carpeta del sistema /TEMP, utilizando tal y como hemos dicho la PowerShell para ejecutar este sin que el usuario sea consciente de qué es lo que está sucediendo, algo que acostumbra a ser lo habitual y que les permite disponer de cierta ventaja hasta que esto sucede.
La finalidad parece bastante clara, ya que los servidores web y los servicios involucrados comparten mucha información, de ahí que se busque los archivos de configuración y así encontrar los datos de acceso utilizados por este para conectarse a bases de datos o servidores FTP, almacenados en ambos casos información que puede resultar muy valiosa.
No es la única noticia que hemos dado esta semana relacionada con la seguridad de los sistemas operativos de los de Redmond, ya que también hemos hablado de la utilización de máquinas virtuales para ocultar la actividad de los ciberdelincuentes y hacer esta invisible ante la presencia de amenazas de seguridad.
Os recomendamos leer nuestro artículo sobre cómo protegernos de ataques de scripts.