Outlook Web Application(OWA)に対する攻撃により、攻撃者は組織全体のパスワードとメールアカウントにアクセスできます。
Cybereasonの情報セキュリティスペシャリストのチームが、19,000以上のアカウントを持つ同社のOWAサーバーのファイルに悪意のあるモジュールを発見しました。 会社名は呼ばれません。
Cybereasonクライアントは、内部ネットワークでの疑わしい活動に気づき、セキュリティの専門家に助けを求めました。 内部ネットワークの感染の事実に関する監査中に、顧客組織のOWAサーバー上のDLLファイルの1つの置換が発見されました。 元のOWAAUTH.dll DLLファイルとは異なり、 バックドア DLLにはデジタル署名が含まれておらず、別のディレクトリにありました。
バックドアを含むOWAAUTH.dllファイルにより、攻撃者はHTTPSを使用してOWAを介して送信されたすべての情報を解読された形式で受信することができました。 したがって、攻撃者は、サーバーにアクセスした全員の個人データ(アカウントパスワードなど)を盗む可能性があります。
「この場合、ハッカーはOWAサーバー上で戦略的に重要な位置に足を踏み入れることができました」と彼らはOutlook Web Applicationに対する攻撃を分析するレポートでCybereason で起こったことをコメントしています。 「実際、OWAでは、組織にネットワークアクセス制限の比較的ソフトなポリシーを要求しています。 この場合、Outlook Web Appは、サーバーへのアクセスをインターネット経由でリモートで取得できるように構成されました。 これが、ハッカーが会社のエコシステム全体を常に制御できる一方で、何ヶ月も検出されないままになった主な理由です。」
OWAは、グローバルネットワークと企業イントラネット間の仲介者として機能する企業メールであるため、攻撃者にとってはちょっとしたものです。 ネットワーク経由でユーザーにアカウントにリモートアクセスするためにOWAが使用されていたため、攻撃者が組織全体のドメインデータにアクセスできるようになったのはまさにこれです。 Cybereasonは、この攻撃がどれほど広範囲に及ぶ可能性があるかについてコメントしませんでした。 特定の目的のためにマルウェアが作成されることはめったにないため、他の大規模な組織がハッカーの被害者になる可能性があります。
おそらく、OWAを使用している組織の管理者は、バックドアがないかメールサーバーを確認する必要があります。