Microsoft warnt vor PHP-Web Shells mit Cookie-Kontrolle

Microsoft hat neue Erkenntnisse über die Verwendung von HTTP-Cookies als Kontrollkanal für PHP-basierte Web Shells auf Linux-Servern veröffentlicht. Laut dem Microsoft Defender Security Research Team setzen Angreifer zunehmend auf diese Methode, um Remote-Code-Ausführung zu erreichen. Anstatt die Ausführung von Befehlen über URL-Parameter oder Anfrageinhalte zu steuern, nutzen diese Web Shells von Bedrohungsakteuren bereitgestellte Cookie-Werte. Die Forschung zeigt, dass diese Technik es Angreifern ermöglicht, ihre Aktivitäten zu verschleiern und die Erkennung durch Sicherheitslösungen zu umgehen. Cookies, die normalerweise für die Verwaltung von Sitzungen verwendet werden, werden hier als Mittel zur Steuerung von Befehlen eingesetzt.

Diese Vorgehensweise stellt eine erhebliche Bedrohung für die Sicherheit von Webanwendungen dar, insbesondere für solche, die auf PHP basieren. Ein zentrales Merkmal dieser Angriffe ist die Persistenz der Web Shells. Angreifer können Cron-Jobs auf den betroffenen Servern einrichten, um die Web Shells regelmäßig zu aktivieren. Dies ermöglicht es ihnen, auch nach einem Neustart des Servers oder nach anderen Maßnahmen zur Schadensbegrenzung weiterhin Zugriff zu behalten. Die Verwendung von Cron-Jobs erhöht die Komplexität der Erkennung und Bekämpfung solcher Angriffe.

Die Microsoft-Analysen haben gezeigt, dass die Angreifer in der Lage sind, die Kontrolle über die betroffenen Systeme zu erlangen, indem sie einfach die Cookie-Werte manipulieren. Diese Manipulation ermöglicht es ihnen, spezifische Befehle auszuführen, ohne dass sie direkt auf die URL oder den Anfrageinhalt zugreifen müssen. Diese Technik könnte die Sicherheitsarchitektur vieler Unternehmen gefährden, die auf Linux-Servern basierende Webanwendungen betreiben. Um sich gegen diese Bedrohung zu schützen, empfiehlt Microsoft, die Sicherheitsrichtlinien für Webanwendungen zu überprüfen und sicherzustellen, dass alle Softwarekomponenten auf dem neuesten Stand sind. Die Implementierung von Sicherheitsmaßnahmen wie Web Application Firewalls (WAF) kann helfen, verdächtige Aktivitäten zu erkennen und zu blockieren.

Zudem sollten Unternehmen sicherstellen, dass ihre Server regelmäßig auf Anomalien überprüft werden. Die Verwendung von HTTP-Cookies zur Steuerung von Web Shells ist nicht neu, jedoch hat die Häufigkeit solcher Angriffe in den letzten Monaten zugenommen. Microsoft hat festgestellt, dass diese Technik von verschiedenen Bedrohungsakteuren weltweit eingesetzt wird, was die Notwendigkeit unterstreicht, proaktive Sicherheitsmaßnahmen zu ergreifen. Die Bedrohungslage entwickelt sich ständig weiter, und Unternehmen müssen wachsam bleiben. Die Sicherheitslücke, die durch diese Angriffe ausgenutzt wird, betrifft nicht nur große Unternehmen, sondern auch kleine und mittelständische Betriebe.

Viele dieser Unternehmen sind möglicherweise nicht ausreichend auf solche Angriffe vorbereitet, was sie zu einem attraktiven Ziel für Cyberkriminelle macht. Microsoft hat daher die Bedeutung von Schulungen und Sensibilisierungsmaßnahmen für Mitarbeiter hervorgehoben, um das Bewusstsein für Cyberbedrohungen zu schärfen. Die Microsoft Defender Security Research Team hat bereits Maßnahmen ergriffen, um die betroffenen Systeme zu schützen. Dazu gehören regelmäßige Updates und Patches für die betroffenen Softwarekomponenten. Unternehmen werden ermutigt, diese Updates zeitnah zu implementieren, um ihre Systeme vor potenziellen Angriffen zu schützen.

Ein Beispiel für eine solche Sicherheitsmaßnahme ist die Einführung von strengen Cookie-Richtlinien, die den Zugriff auf sensible Bereiche der Webanwendung einschränken. Die Bedrohung durch Cookie-gesteuerte PHP-Web Shells ist ein wachsendes Problem in der Cybersecurity-Landschaft. Microsoft plant, weitere Informationen und Empfehlungen zur Bekämpfung dieser Bedrohung in den kommenden Wochen zu veröffentlichen. Die Sicherheitsforschung wird fortgesetzt, um neue Angriffsmuster zu identifizieren und geeignete Gegenmaßnahmen zu entwickeln. Die Sicherheitslücke, die durch diese Angriffe ausgenutzt wird, wird als kritisch eingestuft und betrifft zahlreiche Systeme weltweit. Microsoft hat bereits erste Schritte unternommen, um betroffene Kunden zu informieren und Unterstützung anzubieten.