Атака на Outlook Web Application (OWA) дает злоумышленникам доступ к паролям и учетным записям почты всей организации
Команда специалистов по информационной безопасности из организации Cybereason обнаружила вредоносный модуль в файлах сервера OWA компании, имеющей на нем более 19 000 учетных записей. Имя компании не называется.
Клиент Cybereason заметил подозрительную активность в своей внутренней сети и обратился за помощью к специалистам по безопасности. В ходе проведенного аудита на факт заражения внутренней сети, было обнаружена подмена одного из DLL-файлов на OWA-сервере организации-заказчика. В отличие от оригинального DLL-файла OWAAUTH.dll, DLL с бэкдором не содержал цифровой подписи и находился в другом каталоге.
Файл OWAAUTH.dll, который содержал в себе бэкдор, позволял получать злоумышленникам уже в расшифрованном виде всю информацию, которая передавалась через OWA при помощи HTTPS. Таким образом злоумышленники могли украсть любые персональные данные каждого, кто обращался к серверу, в том числе и пароли учетных записей.
«В данном случае хакерам удалось закрепиться на стратегически важной позиции — на сервере OWA», — комментируют произошедшее в Cybereason в своем отчете, в рамках которого они проводят анализ проведенной атаки на Outlook Web Application. «Фактически, OWA требует от организации относительно мягкой политики ограничений доступа в сеть. В рассматриваемом случае Outlook Web App был настроен таким образом, что доступ к серверу можно было получить удаленно, через Интернет. Именно это является главной причиной того, что хакеры смогли установить постоянный контроль над всей экосистемой компании, при этом оставаясь необнаруженными в течение многих месяцев».
OWA является «лакомым кусочком» для злоумышленников, поскольку именно корпоративная почта выступает посредником между глобальной сетью и корпоративным Интранетом. Так как OWA использовался для удаленного доступа пользователей к своим учетным записям через сеть именно это позволило злоумышленникам получить доступ к доменным данным всей организации. Cybereason не прокомментировали, как широко эта атака может быть распространена. Учитывая то, что вредоносное ПО редко пишется под одну конкретную цель, жертвами хакеров могут быть и другие крупные организации.
Возможно, администраторам в организациях, использующих OWA, стоит проверить свой почтовый сервер на наличие бэкдора.
Комментарии (19)
gotch
06.10.2015 15:18Занимательная атака. Интересно, когда появится соответствующая антивирусная сигнатура и как Microsoft отреагирует на подобный класс уязвимостей.
orcy
06.10.2015 15:55+7Я что-то не понял: атакующие получили доступ на сервер с exchange и разместили там свою DLL. Из описание — это не уязвимость OWA, это какая-то проблема с доступом к машине на которой установлен Exchange.
onix74
06.10.2015 15:34+1> «В рассматриваемом случае Outlook Web App был настроен таким образом, что доступ к серверу можно было получить удаленно, через Интернет.»
Т.е. производителем ПО такой сценарий не предусматривался?
merlin-vrn
06.10.2015 22:52+5Извините, а в чём заключается атака именно на Exchange? Какая его уязвимость эксплуатируется?
Похоже, будто инсайдер с достаточными правами подменил файлик. Так против инсайдера с правами абсолютно любая система уязвима, здесь виноват вовсе не Exchange, а статья — пшик.
Хотите фокус покажу? В Windows есть такая библиотека (во всяком случае, в XP — была) — MS GINA. (msgina.dll). Заменяем… опа, атакая на экран входа в систему Microsoft Windows позволяет получить доступ к хранящимся на компьютере данным!
toxicdream
07.10.2015 18:35Зачетная библиотека, между прочим. Как-то лет 5 назад попросили глянуть компьютер с важными данными, поймавший порнобаннер-вымогатель.
Данные-то вытащил загрузившись с флешки, а вот проверка всеми доступными антивирусами ничего не давала.
Интуитивно нашел замену этой библиотеки, прописанную в реестре.
В то время это был новый вектор атаки. А вспомнил только потому что видел ее упоминание на форуме «любительских тем для Windows XP».
M_Muzafarov
07.10.2015 15:03Зашел прочитать про новую атаку, эксплойт глянуть, проверить у себя, позащищаться, а тут всего лишь dll кто-то нашел. Желтизна какая-то.
stas404
08.10.2015 03:41-1Клиент Cybereason заметил подозрительную активность
Вот, как раз для таких ситуаций и придумали Антивирусный Сканер Cezurity.
gydex
08.10.2015 10:48Соглашусь с авторами предыдущих комментариев. Некорретно утверждать, что это уязвимость самого почтового сервера Microsoft Exchange, тут нужно уточнить способы атаки и возможности подмены DLL-файла.
navion
08.10.2015 13:03+3Разработчики Exchange даже ответили на этот идиотизм:
blogs.technet.com/b/exchange/archive/2015/10/07/no-new-security-vulnerability-in-outlook-web-access-owa.aspx
ildarz
/facepalm
Заголовок — «Новая атака атака на почтовый сервер Outlook...» (это www.outlook.com, в девичестве Hotmail).
Реальность — в одной (!) компании неизвестным (!) образом оказалась подменена библиотека аутентификации в веб-интерфейсе on-premise сервера Exchange.
Жжете.
ragequit
По всей видимости, заголовок поправили, но там вроде под ним сразу идет подзаголовок, который всегда дает более развернутую информацию и который легко и сразу читается за заголовком. Обычная практика для 95% ресурсов в сети. По мне так даже просто с «Outlook» бросив взгляд на подзаголовок все становилось понятно, о каком именно Outlook идет речь.
ildarz
1. Когда я читал текст, в глаза бросалось несколько иное. :) А логотип Outlook.com бросается даже сейчас. И даже поправленный текст неточен — почтового сервера «Outlook Web Application» не существует, он называется Microsoft Exchange.
2. Хотелось бы, чтобы Хабр не начал окончательно принадлежать к тем самым 95%, от технического ресурса можно ожидать несколько большей точности.
3. И наконец, единичный случай без описанного вектора атаки (пусть даже предположительного) — это не «новая атака».
Wedmer
Этот логотип я наблюдаю каждый раз, когда захожу на корпоративную почту через вебморду. OWA такой по умолчанию предоставляет.
hardex
Ну отлично, 95% помоек пишут clickbait-заголовки, давайте и на хабре так сделаем.
shaman3D
Где здесь идёт подзаголовок, который даёт более развёрнутую информацию и легко читается?
В тему заглянул по заголовку, содержимое которого не соответствует ему.