Pull to refresh
205.67
ua-hosting.company
Хостинг-провайдер: серверы в NL до 300 Гбит/с

Новая атака на почтовый сервер Microsoft Exchange позволяет украсть пароли

Reading time 2 min
Views 15K

Атака на Outlook Web Application (OWA) дает злоумышленникам доступ к паролям и учетным записям почты всей организации


image

Команда специалистов по информационной безопасности из организации Cybereason обнаружила вредоносный модуль в файлах сервера OWA компании, имеющей на нем более 19 000 учетных записей. Имя компании не называется.

Клиент Cybereason заметил подозрительную активность в своей внутренней сети и обратился за помощью к специалистам по безопасности. В ходе проведенного аудита на факт заражения внутренней сети, было обнаружена подмена одного из DLL-файлов на OWA-сервере организации-заказчика. В отличие от оригинального DLL-файла OWAAUTH.dll, DLL с бэкдором не содержал цифровой подписи и находился в другом каталоге.

Файл OWAAUTH.dll, который содержал в себе бэкдор, позволял получать злоумышленникам уже в расшифрованном виде всю информацию, которая передавалась через OWA при помощи HTTPS. Таким образом злоумышленники могли украсть любые персональные данные каждого, кто обращался к серверу, в том числе и пароли учетных записей.

«В данном случае хакерам удалось закрепиться на стратегически важной позиции — на сервере OWA», — комментируют произошедшее в Cybereason в своем отчете, в рамках которого они проводят анализ проведенной атаки на Outlook Web Application. «Фактически, OWA требует от организации относительно мягкой политики ограничений доступа в сеть. В рассматриваемом случае Outlook Web App был настроен таким образом, что доступ к серверу можно было получить удаленно, через Интернет. Именно это является главной причиной того, что хакеры смогли установить постоянный контроль над всей экосистемой компании, при этом оставаясь необнаруженными в течение многих месяцев».

OWA является «лакомым кусочком» для злоумышленников, поскольку именно корпоративная почта выступает посредником между глобальной сетью и корпоративным Интранетом. Так как OWA использовался для удаленного доступа пользователей к своим учетным записям через сеть именно это позволило злоумышленникам получить доступ к доменным данным всей организации. Cybereason не прокомментировали, как широко эта атака может быть распространена. Учитывая то, что вредоносное ПО редко пишется под одну конкретную цель, жертвами хакеров могут быть и другие крупные организации.

Возможно, администраторам в организациях, использующих OWA, стоит проверить свой почтовый сервер на наличие бэкдора.
Tags:
Hubs:
+4
Comments 19
Comments Comments 19

Articles

Information

Website
ua-hosting.company
Registered
Founded
Employees
11–30 employees
Location
Латвия
Representative
HostingManager