Infection de serveurs Web sous Windows pour miner de la cryptomonnaie

Les chercheurs en sécurité de ESET dévoilent que des cybercriminels ont procédé à des modifications mineures sur un logiciel légitime de minage de cryptomonnaie Monero (via un fork), et ont exploité une vulnérabilité connue affectant Microsoft IIS 6.0 pour l'installer insidieusement sur des serveurs Windows.

La faille en question est référencée CVE-2017-7269. Elle a été corrigée en juin par Microsoft. Son exploitation implique l'envoi d'une requête HTTP spécialement conçue. Le problème se situe au niveau du service WebDAV. Faute d'appliquer le patch, Windows Server 2003 R2 est vulnérable.

Il est à souligner que Microsoft avait fait exception à sa politique de fin de support afin de proposer le correctif pour cette plateforme. D'après ESET, en l'espace de trois mois, les cybercriminels ont pu créer un botnet de plusieurs centaines de serveurs infectés, et ont amassé pour l'équivalent de plus de 63 000 $.

Les chercheurs en sécurité expliquent que la cryptomonnaie Monero présente l'avantage de rendre les transactions intraçables, et un algorithme utilisé pour le minage est adapté aux processeurs d'ordinateurs standards.

Une vulnérabilité connue, des systèmes anciens ciblés et des modifications à la marge apportées à un logiciel open source de minage… Peu d'efforts pour gagner rapidement de l'argent.