Hitelesítőadat-lopó Microsoft Exchange bővítményre bukkantak

Hitelesítőadat-lopó Microsoft Exchange bővítményre bukkantak
Owowa névre keresztelte a Kaspersky azt a korábban ismeretlen IIS modult (a Microsoft webszerverek számára további funkciókat biztosító szoftverelemet), amely a felhasználó által a Webes Outlookba (OWA-ba) történő bejelentkezéskor megadott hitelesítő adatokat lopja el. A modul lehetővé teszi továbbá, hogy a támadók távvezérelt hozzáférést nyerjenek az érintett szerverhez. A valamikor 2020 vége és 2021. áprilisa között létrehozott modul egy ravaszul álcázott lopási módszer, amelyet hálózatfigyeléssel nehéz észrevenni. Ráadásul az Exchange szoftverfrissítéseinek is ellenáll, így hosszú ideig rejtve tud maradni a készülékeken.

2021-ben a fejlett fenyegetéseket alkalmazó csoportok egyre jobban kiaknázták a Microsoft Exchange Server sérülékenységeit. Márciusban a szerverek négy kritikus sérülékenysége lehetővé tette, hogy a támadók hozzáférést nyerjenek az összes regisztrált e-mail-fiókhoz, és önkényes kódot futtassanak. A további potenciálisan kártékony beépülő elemek után kutatva a Kaspersky szakértői felfedeztek egy kártékony modult, amely lehetővé teszi, hogy a támadók ellopják a Webes Outlooknál használt bejelentkezési adatokat, és távvezérelt hozzáférést nyerjenek az érintett szerverhez. A Kaspersky által az Owowa névre keresztelt modul kártékony képességei könnyen beindíthatók, már egy látszólag ártalmatlan kéréssel is – ebben az esetben egy OWA hitelesítési kéréssel.

A Kaspersky szakemberei úgy vélik, hogy a modult valamikor 2020 vége és 2021. áprilisa között alkották meg, és Malajziában, Mongóliában, Indonéziában és a Fülöp-szigeteken veszi célba áldozatait. Az áldozatok többsége kormányzati szervezetekhez köthető, egy másik áldozat pedig egy állami tulajdonú közlekedési vállalathoz. Valószínű, hogy Európában is vannak további áldozatok.

A kiberbűnözőknek csak egy feltört szerver OWA bejelentkezési oldalához kell hozzáférniük ahhoz, hogy speciálisan megszerkesztett parancsokat írjanak be a felhasználó és a jelszó mezőkbe. Ez hatékony módszert kínál arra, hogy a támadók szilárdan megvessék a lábukat a célba vett hálózatokban, ugyanis a kártékony modul tartósan ott marad az Exchange szerveren.

A Kaspersky kutatói egyetlen ismert támadócsoporttal sem tudták összefüggésbe hozni az Owowát. Ugyanakkor azt találták, hogy az „S3crt” felhasználónévhez kapcsolható, ez a név pedig egy olyan fejlesztőt takar, aki számos másik kártékony bináris betöltőprogram mögött állhat. Mindazonáltal az „S3crt” egész egyszerűen az angol „secret” (titok) szóból származik, így aztán többen is használhatják. Éppen ezért az is lehetséges, hogy semmilyen kapcsolat nincs ezek között a kártékony bináris fájlok és az Owowa között.

„Az Owowa azért jelent különösen nagy veszélyt, mert a modul segítségével egy támadó passzívan ellophatja a hitelesítési adatokat a webes szolgáltatásokhoz törvényesen hozzáférő felhasználóktól. Ez sokkal ravaszabb módja a távoli hozzáférés megszerzésének, mint az adathalász e-mailek küldése. Továbbá, bár az IIS konfigurációs eszközök használhatók az ilyen fenyegetések észlelésére, nem képezik a szokásos fájl- és hálózatmegfigyelési tevékenységek részét, ezért a biztonsági eszközök könnyen figyelmen kívül hagyják az Owowát” – mondta el Miroslav Koren, a Kaspersky Kelet-Európáért felelős igazgatója.

„Mivel az Owowa egy IIS modul, ez azt is jelenti, hogy még a Microsoft Exchange frissítését követően is megmarad. A jó hír az, hogy a támadók nem tűnnek nagyon kifinomultnak. A vállalatoknak szoros ellenőrzés alatt kell tartaniuk az Exchange szervereket, ugyanis nagyon érzékenyek, és az összes vállalati e-mailt tartalmazzák. Javasoljuk továbbá azt is, hogy minden futó modult tekintsenek kritikus fontosságúnak, és rendszeresen ellenőrizzék őket” – fejtette ki Paul Rascagneres, a Kaspersky globális kutató és elemző csapatának vezető biztonsági kutatója.

Az Owowával foglalkozó teljes jelentés a Securelist oldalon olvasható.

A Kaspersky a következőket javasolja az ilyen jellegű fenyegetések elleni védekezéshez:

●      Rendszeresen ellenőrizzék a betöltött IIS modulokat a kitett IIS szervereken (különösen az Exchange szervereken), és aknázzák ki az IIS szervercsomag rendelkezésre álló eszközeit. Mindenképpen ellenőrizzék az ilyen modulokat a fenyegetésvadászati tevékenységek során, minden olyan alkalommal, amikor egy Microsoft szervertermék kapcsán komoly sebezhetőséget jelentenek be.

●      A védelmi stratégiájukat az oldalirányú mozgások és az adatok internetre való kikerülésének észlelésére összpontosítsák. Fordítsanak fokozott figyelmet a kimenő forgalomra, hogy észlelni tudják a kiberbűnözők kapcsolatait. Rendszeresen készítsenek biztonsági mentést az adatokról. Gondoskodjanak arról, hogy vészhelyzetben is gyorsan el lehessen őket érni.

●      Használjanak olyan megoldásokat, mint a Kaspersky Endpoint Detection and Response és a Kaspersky Managed Detection and Response szolgáltatás, amelyek segítenek a támadások korai szakaszban történő azonosításában és megállításában, még mielőtt a támadók elérhetnék a céljaikat.

●      Használjanak megbízható végpontvédelmi megoldást, mint például a Kaspersky Endpoint Security for Business szoftvert, amely az exploit-megelőző és a viselkedés-elemző funkció mellett a kártékony műveleteket visszafordítani képes helyreállító motorral is rendelkezik. A szoftver olyan önvédelmi mechanizmussal is rendelkezik, amely meggátolja, hogy a kiberbűnözők eltávolítsák.

Kövesd az oldalunkat a Facebook-on és a Twitteren is!



Címkék: Kaspersky, Adat