Nytt slag för Microsoft Exchange, efter upptäckten av ett tillägg som stjäl identifierare

Kaspersky-forskare har upptäckt en tidigare obemärkt skadlig Microsoft Exchange-tillägg som kan stjäla användaruppgifter för Outlook Web Access (OWA). En ny kvacksalvare.

Efter ProxyLogon-sårbarheterna i början av året plågas Microsoft Exchange av nya säkerhetssvårigheter. Ett Kaspersky-team har verkligen upptäckt en IIS-modul som stjäl identifierarna som angavs under en anslutning till Outlook Web Access professionell e-post, OWA. Den lilla modulen, kallad “Owowa”, kompilerades mellan slutet av 2020 och april 2021, säger Kaspersky. Den här incidenten bekräftar det komprometterade tillståndet för Exchange-servern, vars sårbarheter mycket väl kunde ha utnyttjats av hackare för att distribuera Owowa.

Fällan att få dina referenser stulna under en legitim anslutning till Outlook Web Access

Helt klart kan de fyra kritiska sårbarheterna i Microsoft Exchange-servrar, som gjorde det möjligt för cyberbrottslingar att komma åt registrerade e-postkonton och fjärrexekvera godtycklig kod, jämföras med en enorm öppen dörr, genom vilken APT-grupper har rusat utan att bli tillfrågade.

Det är nästan naturligt att Kaspersky-experter upptäckte en skadlig modul, gömd bakom programvara som var tänkt att ge ytterligare funktionalitet till Microsofts webbservrar. Förutom att detta tillåter hackare att stjäla inloggningsuppgifter för Outlook Web Access. Sedan har de all tid att använda en fjärrkontroll på den underliggande servern på ett sätt som är både smygande och svårt att upptäcka.

Owowa skadlig programvara är mycket lätt att distribuera genom att skicka förfrågningar som verkar ofarliga, eftersom de görs i form av autentiseringsbegäranden till Outlook. Och om ” attackerna verkar inte särskilt sofistikerade “, vilket ur forskaren Paul Rascagnères synvinkel verkar vara goda nyheter, Owowa är ändå farlig, eftersom” den bibehålls även i händelse av en uppdatering av Microsoft Exchange “, förklarar han för oss, vilket borde göra honom till en verklig ihållande skadlig programvara. ” Owowa är särskilt farligt eftersom en angripare kan använda det för att passivt stjäla användaruppgifterna för användare som legitimt använder webbtjänster. Det är ett mycket mer diskret sätt att få fjärråtkomst än att skicka ett nätfiskemeddelande.”tillägger Pierre Delcher, en annan STOR forskare vid Kaspersky.

Mål som ligger i Asien, men Europa skulle inte skonas

Enkelt uttryckt, hur lyckas cyberbrottslingar utnyttja sin skadliga programvara? ” Cyberbrottslingar behöver helt enkelt komma åt en hackad servers OWA-inloggningssida för att ange specialgjorda kommandon i användarnamns- och lösenordsfälten. Således kan de effektivt infiltrera riktade nätverk och behålla sig själva inom en Exchange-server. “, beskriver Kaspersky.

Flera komprometterade servrar har identifierats i Asien av Kaspersky. De bevisade målen finns verkligen i Indonesien, Malaysia, Filippinerna och Mongoliet. ” De flesta var knutna till statliga organisationer och en till ett statligt trafikföretag. Det är troligt att det redan finns andra offer i Europa “, fruktar cybersäkerhetsspecialisten, som inte kan säga mer offentligt i detta skede.

För tillfället tillskriver Kaspersky inte faderskap till Owowa. Företaget har ännu inte hittat någon länk till en känd aktör för cyberhot, även om angripargruppens användarnamn, “S3crt” (för “hemligt”), redan har varit källan till skadliga nyttolaster tidigare. För tillfället är detta fortfarande spekulativt, och information saknas fortfarande för att tydligt identifiera gruppen bakom Owowa.

För att skydda mot honom rekommenderar Kaspersky att företag noggrant övervakar Exchange-servrar, som finns kvar ” särskilt känsliga och innehåller alla deras e-postutbyten “, förklarar Paul Rascagnères, som råder att ” betrakta alla pågående moduler som kritiska och kontrollera dem regelbundet för att begränsa riskerna.