针对Microsoft Outlook Web App(OWA)窃取电子邮件密码的新攻击
相关标签: # 研究# 数据# 服务器# 攻击# 黑客
Microsoft Outlook Web应用程序或OWA是一种面向Internet的网络邮件服务器,正在私人公司和组织中部署,以提供内部电子邮件发送功能。
安全供应商Cybereason的研究人员发现了一个可疑的DLL文件加载到该公司的OWA服务器,该服务器虹吸解密的HTTPS服务器请求。
尽管该文件与另一个良性DLL文件同名,但可疑的DLL文件没有签名,是从另一个目录加载的。
黑客在OWA服务器上放置了恶意DLL
据安全公司称,袭击者更换了OwaauthDLL文件(由OWA用作身份验证机制的一部分)其中一个有一个危险的后门。
由于它在OWA服务器上运行,后门DLL文件允许黑客收集所有受HTTPS保护的服务器请求,包括解密后的登录信息,即明文。
“OWA的配置方式[允许]面向Internet访问服务器,”我在周一发表的一篇文章中写道。“这使黑客能够在几个月内对整个组织的环境建立持久的控制,而不被发现。”
黑客窃取了11000张凭证
每个访问被黑客攻击的服务器的用户都有自己的用户名&;攻击者泄露并存储了密码。
研究人员发现11000个用户名和密码a中的组合日志txt文件位于服务器的“C:\”分区中。日志据信,攻击者使用txt文件存储所有记录的数据。
检测到的未具名公司“行为异常”在接触安全公司Cybereason之前,该公司的整个网络拥有超过19000个端点。
为了防止后门被删除,攻击者还创建了一个IIS(Microsoft的Web服务器)过滤器,通过该过滤器加载恶意的OWAAUTH。每次重新启动服务器时,都会出现dll文件。
在蛋糕上加糖霜— 高级持久性攻击者利用。NET程序集缓存,以避免审核和安全检查。
这家安全公司没有说明这次攻击的范围有多广,不仅针对一家组织,但也有可能袭击其他大型组织。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
