Artak
Местный
Artak
Местный
- Статус
- Offline
- Регистрация
- 18 Окт 2015
- Сообщения
- 48
- Реакции
- 11
- Депозит
- 0р
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
Команда специалистов по информационной безопасности из организации Cybereason обнаружила вредоносный модуль в файлах сервера OWA компании, имеющей на нем более 19 000 учетных записей. Имя компании не называется.
Клиент Cybereason заметил подозрительную активность в своей внутренней сети и обратился за помощью к специалистам по безопасности. В ходе проведенного аудита на факт заражения внутренней сети, было обнаружена подмена одного из DLL-файлов на OWA-сервере организации-заказчика. В отличие от оригинального DLL-файла OWAAUTH.dll, DLL с бэкдором не содержал цифровой подписи и находился в другом каталоге.
Файл OWAAUTH.dll, который содержал в себе бэкдор, позволял получать злоумышленникам уже в расшифрованном виде всю информацию, которая передавалась через OWA при помощи HTTPS. Таким образом злоумышленники могли украсть любые персональные данные каждого, кто обращался к серверу, в том числе и пароли учетных записей.
«В данном случае хакерам удалось закрепиться на стратегически важной позиции — на сервере OWA», — комментируют произошедшее в Cybereason в своем отчете, в рамках которого они проводят анализ проведенной атаки на Outlook Web Application. «Фактически, OWA требует от организации относительно мягкой политики ограничений доступа в сеть. В рассматриваемом случае Outlook Web App был настроен таким образом, что доступ к серверу можно было получить удаленно, через Интернет. Именно это является главной причиной того, что хакеры смогли установить постоянный контроль над всей экосистемой компании, при этом оставаясь необнаруженными в течение многих месяцев».
OWA является «лакомым кусочком» для злоумышленников, поскольку именно корпоративная почта выступает посредником между глобальной сетью и корпоративным Интранетом. Так как OWA использовался для удаленного доступа пользователей к своим учетным записям через сеть именно это позволило злоумышленникам получить доступ к доменным данным всей организации. Cybereason не прокомментировали, как широко эта атака может быть распространена. Учитывая то, что вредоносное ПО редко пишется под одну конкретную цель, жертвами хакеров могут быть и другие крупные организации.
Возможно, администраторам в организациях, использующих OWA, стоит проверить свой почтовый сервер на наличие бэкдора.
