Новая атака на почтовый сервер Microsoft Exchange позволяет украсть пароли

    Атака на Outlook Web Application (OWA) дает злоумышленникам доступ к паролям и учетным записям почты всей организации


    image

    Команда специалистов по информационной безопасности из организации Cybereason обнаружила вредоносный модуль в файлах сервера OWA компании, имеющей на нем более 19 000 учетных записей. Имя компании не называется.

    Клиент Cybereason заметил подозрительную активность в своей внутренней сети и обратился за помощью к специалистам по безопасности. В ходе проведенного аудита на факт заражения внутренней сети, было обнаружена подмена одного из DLL-файлов на OWA-сервере организации-заказчика. В отличие от оригинального DLL-файла OWAAUTH.dll, DLL с бэкдором не содержал цифровой подписи и находился в другом каталоге.

    Файл OWAAUTH.dll, который содержал в себе бэкдор, позволял получать злоумышленникам уже в расшифрованном виде всю информацию, которая передавалась через OWA при помощи HTTPS. Таким образом злоумышленники могли украсть любые персональные данные каждого, кто обращался к серверу, в том числе и пароли учетных записей.

    «В данном случае хакерам удалось закрепиться на стратегически важной позиции — на сервере OWA», — комментируют произошедшее в Cybereason в своем отчете, в рамках которого они проводят анализ проведенной атаки на Outlook Web Application. «Фактически, OWA требует от организации относительно мягкой политики ограничений доступа в сеть. В рассматриваемом случае Outlook Web App был настроен таким образом, что доступ к серверу можно было получить удаленно, через Интернет. Именно это является главной причиной того, что хакеры смогли установить постоянный контроль над всей экосистемой компании, при этом оставаясь необнаруженными в течение многих месяцев».

    OWA является «лакомым кусочком» для злоумышленников, поскольку именно корпоративная почта выступает посредником между глобальной сетью и корпоративным Интранетом. Так как OWA использовался для удаленного доступа пользователей к своим учетным записям через сеть именно это позволило злоумышленникам получить доступ к доменным данным всей организации. Cybereason не прокомментировали, как широко эта атака может быть распространена. Учитывая то, что вредоносное ПО редко пишется под одну конкретную цель, жертвами хакеров могут быть и другие крупные организации.

    Возможно, администраторам в организациях, использующих OWA, стоит проверить свой почтовый сервер на наличие бэкдора.
    ua-hosting.company
    Хостинг-провайдер: серверы в NL до 300 Гбит/с

    Comments 19

      +20
      /facepalm

      Заголовок — «Новая атака атака на почтовый сервер Outlook...» (это www.outlook.com, в девичестве Hotmail).

      Реальность — в одной (!) компании неизвестным (!) образом оказалась подменена библиотека аутентификации в веб-интерфейсе on-premise сервера Exchange.

      Жжете.
        0
        По всей видимости, заголовок поправили, но там вроде под ним сразу идет подзаголовок, который всегда дает более развернутую информацию и который легко и сразу читается за заголовком. Обычная практика для 95% ресурсов в сети. По мне так даже просто с «Outlook» бросив взгляд на подзаголовок все становилось понятно, о каком именно Outlook идет речь.
          +3
          1. Когда я читал текст, в глаза бросалось несколько иное. :) А логотип Outlook.com бросается даже сейчас. И даже поправленный текст неточен — почтового сервера «Outlook Web Application» не существует, он называется Microsoft Exchange.
          2. Хотелось бы, чтобы Хабр не начал окончательно принадлежать к тем самым 95%, от технического ресурса можно ожидать несколько большей точности.
          3. И наконец, единичный случай без описанного вектора атаки (пусть даже предположительного) — это не «новая атака».
            +1
            Этот логотип я наблюдаю каждый раз, когда захожу на корпоративную почту через вебморду. OWA такой по умолчанию предоставляет.
            +1
            Ну отлично, 95% помоек пишут clickbait-заголовки, давайте и на хабре так сделаем.
              +3
              Где здесь идёт подзаголовок, который даёт более развёрнутую информацию и легко читается?
              image
              В тему заглянул по заголовку, содержимое которого не соответствует ему.
            0
            Занимательная атака. Интересно, когда появится соответствующая антивирусная сигнатура и как Microsoft отреагирует на подобный класс уязвимостей.
              +7
              Я что-то не понял: атакующие получили доступ на сервер с exchange и разместили там свою DLL. Из описание — это не уязвимость OWA, это какая-то проблема с доступом к машине на которой установлен Exchange.
              +1
              > «В рассматриваемом случае Outlook Web App был настроен таким образом, что доступ к серверу можно было получить удаленно, через Интернет.»
              Т.е. производителем ПО такой сценарий не предусматривался?
                +5
                Извините, а в чём заключается атака именно на Exchange? Какая его уязвимость эксплуатируется?

                Похоже, будто инсайдер с достаточными правами подменил файлик. Так против инсайдера с правами абсолютно любая система уязвима, здесь виноват вовсе не Exchange, а статья — пшик.

                Хотите фокус покажу? В Windows есть такая библиотека (во всяком случае, в XP — была) — MS GINA. (msgina.dll). Заменяем… опа, атакая на экран входа в систему Microsoft Windows позволяет получить доступ к хранящимся на компьютере данным!
                  0
                  Зачетная библиотека, между прочим. Как-то лет 5 назад попросили глянуть компьютер с важными данными, поймавший порнобаннер-вымогатель.
                  Данные-то вытащил загрузившись с флешки, а вот проверка всеми доступными антивирусами ничего не давала.
                  Интуитивно нашел замену этой библиотеки, прописанную в реестре.
                  В то время это был новый вектор атаки. А вспомнил только потому что видел ее упоминание на форуме «любительских тем для Windows XP».
                    0
                    эх. А я с pGINA игрался, делал вход в винду по табличке в MySQL.
                  0
                  Подмена dll — новая атака? Применяется исключительно к Exchange?
                  Я начинаю стесняться заходить на хабр.
                    0
                    Особенно показателен положительный рейтинг статьи
                      +1
                      После обнаружения «уязвимости» в самораспаковывающихся архивах экзешниках WinRar я уже не удивляюсь таким статьям на Хабре.
                      0
                      Зашел прочитать про новую атаку, эксплойт глянуть, проверить у себя, позащищаться, а тут всего лишь dll кто-то нашел. Желтизна какая-то.
                        –1
                        Клиент Cybereason заметил подозрительную активность

                        Вот, как раз для таких ситуаций и придумали Антивирусный Сканер Cezurity.
                          0
                          Соглашусь с авторами предыдущих комментариев. Некорретно утверждать, что это уязвимость самого почтового сервера Microsoft Exchange, тут нужно уточнить способы атаки и возможности подмены DLL-файла.
                            +3
                            Разработчики Exchange даже ответили на этот идиотизм:
                            blogs.technet.com/b/exchange/archive/2015/10/07/no-new-security-vulnerability-in-outlook-web-access-owa.aspx

                            Only users with full accounts can post comments. Log in, please.