Нова атака на поштовий сервер Outlook Web Application дозволяє вкрасти паролі

Атака на корпоративний сервер Outlook Web Application (OWA) дає зловмисникам доступ до паролів і облікових записів пошти всієї організації
image

Команда фахівців з інформаційної безпеки з організації Cybereason виявила шкідливий модуль у файлах сервера OWA компанії, що має на ньому більше 19 000 облікових записів. Ім'я компанії не називається.

Клієнт Cybereason помітив підозрілу активність у своїй внутрішній мережі і звернувся за допомогою до фахівців з безпеки. В ході проведеного аудиту на факт зараження внутрішньої мережі, було виявлено підміна одного з DLL-файлів на OWA-сервері організації-замовника. На відміну від оригінального DLL-файл OWAAUTH.dll, DLL з бекдорів не містив цифрового підпису і перебував в іншому каталозі.

Файл OWAAUTH.dll, який містив у собі бекдор, дозволяв отримувати зловмисникам вже в розшифрованому вигляді всю інформацію, яка передавалася через OWA за допомогою HTTPS. Таким чином зловмисники могли вкрасти будь-які персональні дані кожного, хто звертався до сервера, в тому числі і паролі облікових записів.

«В даному випадку хакерам вдалося закріпитися на стратегічно важливій позиції — на сервері OWA», — коментують подію в Cybereason у своєму звіті, в рамках якого вони проводять аналіз проведеної атаки на Outlook Web Application. «Фактично, OWA вимагає від організації відносно м'якої політики обмежень доступу в мережу. У розглянутому випадку Outlook Web App був налаштований таким чином, що доступ до сервера можна було отримати віддалено, через Інтернет. Саме це є головною причиною того, що хакери змогли встановити постійний контроль над усією екосистемою компанії, при цьому залишаючись невиявленими протягом багатьох місяців».

OWA є «ласим шматочком» для зловмисників, оскільки саме корпоративна пошта виступає посередником між глобальною мережею і корпоративних Інтранет. Так як OWA використовувався для віддаленого доступу користувачів до своїх облікових записів через мережу саме це дозволило зловмисникам отримати доступ до доменним даними всієї організації. Cybereason не прокоментували, як широко ця атака може бути поширена. Враховуючи те, що шкідливе ПЗ рідко пишеться під одну конкретну мету, жертвами хакерів можуть бути й інші великі організації.

Можливо, адміністраторів в організаціях, які використовують OWA, варто перевірити свій поштовий сервер на наявність бекдор.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.