DOBERMANN
Гай Ричи
MrLoot
Frank Vinci
atmservice

Новая атака на почтовый сервер Microsoft Exchange позволяет украсть пароли

Artak

Местный

Artak

Местный
Статус
Offline
Регистрация
18 Окт 2015
Сообщения
48
Реакции
11
Депозит
Покупки через Гарант
0
Продажи через Гарант
0


Команда специалистов по информационной безопасности из организации Cybereason обнаружила вредоносный модуль в файлах сервера OWA компании, имеющей на нем более 19 000 учетных записей. Имя компании не называется.

Клиент Cybereason заметил подозрительную активность в своей внутренней сети и обратился за помощью к специалистам по безопасности. В ходе проведенного аудита на факт заражения внутренней сети, было обнаружена подмена одного из DLL-файлов на OWA-сервере организации-заказчика. В отличие от оригинального DLL-файла OWAAUTH.dll, DLL с бэкдором не содержал цифровой подписи и находился в другом каталоге.

Файл OWAAUTH.dll, который содержал в себе бэкдор, позволял получать злоумышленникам уже в расшифрованном виде всю информацию, которая передавалась через OWA при помощи HTTPS. Таким образом злоумышленники могли украсть любые персональные данные каждого, кто обращался к серверу, в том числе и пароли учетных записей.

«В данном случае хакерам удалось закрепиться на стратегически важной позиции — на сервере OWA», — комментируют произошедшее в Cybereason в своем отчете, в рамках которого они проводят анализ проведенной атаки на Outlook Web Application. «Фактически, OWA требует от организации относительно мягкой политики ограничений доступа в сеть. В рассматриваемом случае Outlook Web App был настроен таким образом, что доступ к серверу можно было получить удаленно, через Интернет. Именно это является главной причиной того, что хакеры смогли установить постоянный контроль над всей экосистемой компании, при этом оставаясь необнаруженными в течение многих месяцев».

OWA является «лакомым кусочком» для злоумышленников, поскольку именно корпоративная почта выступает посредником между глобальной сетью и корпоративным Интранетом. Так как OWA использовался для удаленного доступа пользователей к своим учетным записям через сеть именно это позволило злоумышленникам получить доступ к доменным данным всей организации. Cybereason не прокомментировали, как широко эта атака может быть распространена. Учитывая то, что вредоносное ПО редко пишется под одну конкретную цель, жертвами хакеров могут быть и другие крупные организации.

Возможно, администраторам в организациях, использующих OWA, стоит проверить свой почтовый сервер на наличие бэкдора.
 
Сверху