Μια επίθεση στο Outlook Web Application (OWA) της Microsoft επέτρεψε σε hackers να αποκτήσουν τα διαπιστευτήρια σύνδεσης μέσω ενός κακόβουλου αρχείου DLL που κατάφεραν να φορτώσουν στο διακομιστή.
Η επίθεση αποκαλύφθηκε από την εταιρεία ασφαλείας Cybereason, όταν η Microsoft ζήτησε τις υπηρεσίες της.
Το Outlook Web Application της Microsoft (OWA) είναι ένα διαδικτυακό portal webmail server, που υπάρχει σαν χαρακτηριστικό του Microsoft Exchange Server. Ο Exchange Server επιτρέπει σε εταιρείες αλλά και ιδιώτες που τρέχουν το λειτουργικό σύστημα να αναπτύξουν δικές τους υπηρεσίες ηλεκτρονικού ταχυδρομείου.
Όπως εξηγεί η εταιρεία ασφαλείας Cybereason, οι επιτιθέμενοι αντικατέστησαν το OWAAUTH.dll με ένα που περιείχε backdoor. Έτσι κατάφεραν να συλλέξουν πληροφορίες από τις διαδικασίες πιστοποίησης του τοπικού εξυπηρετητή Active Directory (ενός διακομιστή που διαχειρίζεται τις κοινές διαδικασίες εξακρίβωσης γνησιότητας).
Έτσι ενώ όλες οι διαδικασίες πιστοποίησης λειτουργούσαν σωστά στο διακομιστή Outlook Web Application χρησιμοποιώντας κρυπτογράφηση SSL/TLS, το αρχείο DLL επέτρεψε στους hackers, να αποκτήσουν όλες τις πληροφορίες σύνδεσης σε μορφή απλού κειμένου, αφού το DLL έχει πρόσβαση πριν το στάδιο κρυπτογράφησης.
Όλα τα καταγεγραμμένα δεδομένα ήταν αποθηκευμένα σε ένα αρχείο log.txt στο διακομιστή. Οι ερευνητές της Cybereason ανακάλυψαν περισσότερα από 11.000 ονόματα χρηστών και κωδικούς πρόσβασης σε αυτό το αρχείο. Η εταιρεία που έτρεχε το διακομιστή OWA έχει περίπου 19.000 εργαζομένους.
Οι hackers φέρεται να έλαβαν μέτρα, ούτως ώστε να μην αποκαλυφθεί η επίθεση, αλλά και αν ανακαλυφθεί το backdoor να είναι δύσκολο να αφαιρεθεί. Δημιούργησαν ένα φίλτρο στον IIS (Web server της Microsoft) μέσα από το οποίο φόρτωναν το κακόβουλο OWAAUTH.dll αρχείο κάθε φορά που ο διακομιστής πραγματοποιούσε επανεκκίνηση.
