Атака на веб-приложение Outlook (OWA) дает злоумышленникам доступ к паролям и учетным записям электронной почты всей организации.
Команда специалистов по информационной безопасности организации Cybereason обнаружила вредоносный модуль в файлах OWA-сервера компании, имеющей на нем более 19 000 учетных записей.
Название компании не разглашается.
Клиент Cybereason заметил подозрительную активность в своей внутренней сети и обратился за помощью к специалистам по безопасности.
В ходе проверки заражения внутренней сети было обнаружено, что на OWA-сервере организации-заказчика был заменен один из DLL-файлов.
В отличие от исходного файла DLL OWAAUTH.dll , DLL бэкдора не содержала цифровой подписи и находилась в другом каталоге.
Файл OWAAUTH.dll, содержащий бэкдор, позволял злоумышленникам получать в расшифрованном виде всю информацию, которая передавалась через OWA по протоколу HTTPS. Таким образом злоумышленники могли украсть любые личные данные каждого, кто обращался к серверу, включая пароли от учетных записей.
«В данном случае хакерам удалось закрепиться на стратегически важной позиции — на сервере OWA», — прокомментировал произошедшее Cybereason. в его отчете , в котором они анализируют атаку на веб-приложение Outlook. «Фактически, OWA требует от организации относительно мягкой политики ограничения доступа к сети.
В данном случае Outlook Web App был настроен таким образом, чтобы к серверу можно было получить удаленный доступ через Интернет. Это основная причина, по которой хакеры смогли установить постоянный контроль над всей экосистемой компании, оставаясь при этом незамеченными в течение многих месяцев».
OWA является «лакомым кусочком» для злоумышленников, поскольку именно корпоративная почта выступает посредником между глобальной сетью и корпоративной Интранет. Поскольку OWA использовался для предоставления пользователям удаленного доступа к своим учетным записям по сети, именно это позволило злоумышленникам получить доступ к данным домена всей организации.
Cybereason не прокомментировал, насколько широко распространенной может быть эта атака.
Учитывая, что вредоносное ПО редко пишется для какой-то одной конкретной цели, жертвами хакеров могут стать и другие крупные организации.
Администраторы в организациях, использующих OWA, возможно, захотят проверить свой почтовый сервер на наличие бэкдора.
Теги: #информационная безопасность #серверы #пароли #почта #персональные данные #outlook #ua-hosting.company
-
Бакалавриат Сша: Прием
19 Oct, 24 -
Нетбук Touch Book На Базе Arm
19 Oct, 24 -
Субстики №44
19 Oct, 24 -
Реализация Резервирования Сервера Asterisk
19 Oct, 24
