El nĂșmero de ataques que utilizan shells web continĂșa aumentando de manera constante, con un promedio de 140.000 de este tipo de amenazas que se detectan en servidores comprometidos cada mes, advierte Microsoft . SegĂșn el gigante tecnolĂłgico, la cantidad de ataques de shell web casi se duplicĂł desde el año anterior.

Un shell web es una pequeña herramienta que los hackers colocan en los servidores web de destino para obtener acceso remoto a las funciones del servidor. TambiĂ©n permite a los atacantes ejecutar comandos en servidores para robar datos o usar el servidor comprometido como plataforma de lanzamiento para otras actividades, como robo de credenciales, movimiento lateral dentro de la red, implementaciĂłn de cargas Ăștiles maliciosas adicionales o actividad prĂĄctica con el teclado.

Por lo general, los atacantes buscan servidores vulnerables en Internet e instalan shells web aprovechando los agujeros de seguridad como fallas en las aplicaciones web o en los servidores conectados a Internet.

“Los shells web se pueden construir usando cualquiera de los varios lenguajes que son populares entre las aplicaciones web. Dentro de cada idioma, hay varios medios para ejecutar comandos arbitrarios y hay varios medios para la entrada arbitraria del atacante. Los atacantes tambiĂ©n pueden ocultar instrucciones en la cadena del agente de usuario o cualquiera de los parĂĄmetros que se pasan durante un intercambio de servidor web / cliente ”, dijo Microsoft.

El fabricante de Windows también compartió algunas recomendaciones sobre cómo fortalecer los servidores contra ataques de shell web. Aquí estån:

  • Identifique y corrija vulnerabilidades o configuraciones incorrectas en aplicaciones web y servidores web. Utilice Threat and Vulnerability Management para descubrir y corregir estas debilidades. Implemente las Ășltimas actualizaciones de seguridad tan pronto como estĂ©n disponibles.
  • Implemente la segmentaciĂłn adecuada de su red perimetral, de modo que un servidor web comprometido no ponga en peligro la red empresarial.
  • Habilite la protecciĂłn antivirus en los servidores web. Active la protecciĂłn proporcionada en la nube para obtener las Ășltimas defensas contra amenazas nuevas y emergentes. Los usuarios solo deben poder cargar archivos en directorios que puedan ser escaneados por antivirus y configurados para no permitir la ejecuciĂłn o secuencias de comandos del lado del servidor.
  • Audite y revise los registros de los servidores web con frecuencia. Sea consciente de todos los sistemas que expone directamente a Internet.
  • Utilice el Firewall de Windows Defender, los dispositivos de prevenciĂłn de intrusiones y el firewall de su red para evitar la comunicaciĂłn del servidor de comando y control entre los puntos finales siempre que sea posible, limitando el movimiento lateral, asĂ­ como otras actividades de ataque.
  • Verifique su firewall y proxy perimetral para restringir el acceso innecesario a los servicios, incluido el acceso a los servicios a travĂ©s de puertos no estĂĄndar.
  • Practique una buena higiene de credenciales. Limite el uso de cuentas con privilegios de nivel de administrador local o de dominio.