Iis

Hackers estão explorando chaves de máquina ASP.NET expostas para injetar um módulo malicioso sofisticado conhecido como “HijackServer” em servidores do Internet Information Services (IIS). Essa vulnerabilidade, que afeta centenas de servidores web globalmente, permite a execução remota de código e compromete a segurança de organizações de todos os tamanhos. Os atacantes identificam aplicações ASP.NET com chaves fracas ou publicamente divulgadas, o que facilita a manipulação do viewstate e a execução de código arbitrário no servidor. Uma vez dentro, eles utilizam técnicas de escalonamento de privilégios para obter controle administrativo e implantam ferramentas de acesso remoto. O HijackServer, um módulo nativo do IIS, não apenas serve como uma porta dos fundos não autenticada, mas também gera páginas de investimento falsas para enganar usuários. Os administradores são aconselhados a rotacionar suas chaves de máquina ASP.NET e a monitorar seus ambientes IIS em busca de módulos suspeitos, uma vez que a exposição de segredos pode deixar as organizações vulneráveis, mesmo que as falhas sejam corrigidas.

Uma nova vulnerabilidade no Internet Information Services (IIS) da Microsoft, identificada como CVE-2025-59282, possibilita que atacantes executem código arbitrário em sistemas afetados. A falha decorre de uma condição de corrida e de um cenário de uso após liberação em componentes de memória compartilhada. Classificada como importante, a vulnerabilidade possui um escore CVSS 3.1 de 7.0, indicando que, embora a exploração seja considerada local, um invasor precisa persuadir um usuário legítimo a abrir um arquivo malicioso. A complexidade do ataque é alta, exigindo um tempo preciso para explorar a falha de sincronização. A Microsoft lançou um patch em 14 de outubro de 2025, recomendando que todas as versões suportadas do Windows Server com IIS sejam atualizadas imediatamente. Organizações devem revisar suas instalações do IIS e desativar recursos de objetos COM inbox, a menos que sejam explicitamente necessários. Medidas como a lista de permissões de aplicativos podem ajudar a prevenir a execução de arquivos não confiáveis.

Um novo relatório da Cisco Talos revela uma campanha de cibercrime em larga escala conduzida pelo grupo de hackers UAT-8099, que tem como alvo servidores vulneráveis do Internet Information Services (IIS) em países como Índia, Tailândia, Vietnã, Canadá e Brasil desde abril de 2025. O foco principal do grupo é manipular rankings de otimização para motores de busca (SEO), redirecionando tráfego valioso para anúncios não autorizados e sites de jogos de azar, enquanto exfiltra dados sensíveis de instituições proeminentes.

Um novo ataque cibernético, denominado Operação Rewrite, utiliza um módulo malicioso chamado BadIIS para sequestrar servidores web legítimos que operam com o Internet Information Services (IIS). Observada pela primeira vez em março de 2025, essa campanha de envenenamento de SEO redireciona visitantes desavisados para sites fraudulentos e de malware. A análise indica que os atacantes, presumivelmente de origem chinesa, empregam uma abordagem em duas fases: na fase de envenenamento, o BadIIS intercepta solicitações de crawlers de motores de busca e serve conteúdo malicioso que é indexado, enquanto na fase de redirecionamento, usuários reais são levados a sites controlados pelos atacantes. O BadIIS apresenta várias variantes, incluindo um manipulador ASP.NET e um módulo C# que intercepta erros 404 para injetar páginas de golpe. Para mitigar esses ataques, as equipes de segurança devem auditar listas de módulos do IIS e monitorar conexões de saída para domínios de comando e controle identificados. Ferramentas como Palo Alto Networks podem ajudar a bloquear esses conteúdos maliciosos e interromper comunicações com os atacantes.