Các nhà nghiên cứu của Kaspersky đã phát hiện ra một tiện ích mở rộng Microsoft Exchange độc hại chưa được chú ý trước đây có khả năng đánh cắp thông tin đăng nhập email của người dùng Outlook Web Access (OWA). Một lang băm mới.
Sau lỗ hổng ProxyLogon vào đầu năm, Microsoft Exchange đang gặp khó khăn về bảo mật mới. Một nhóm Kaspersky đã thực sự phát hiện ra một mô-đun IIS đánh cắp số nhận dạng được nhập trong quá trình kết nối với email chuyên nghiệp Outlook Web Access, OWA. Kaspersky cho biết mô-đun nhỏ, có tên “Owowa”, được biên soạn từ cuối năm 2020 đến tháng 4 năm 2021. Sự cố này xác nhận trạng thái bị xâm nhập của máy chủ Exchange, các lỗ hổng có thể đã bị tin tặc khai thác để triển khai Owowa.
Cái bẫy đánh cắp thông tin đăng nhập của bạn trong khi kết nối hợp pháp với Outlook Web Access
Rõ ràng, bốn lỗ hổng nghiêm trọng trong Máy chủ Microsoft Exchange, cho phép tội phạm mạng truy cập vào tài khoản email đã đăng ký và thực thi từ xa mã tùy ý, có thể được so sánh với một cánh cửa rộng lớn, qua đó các nhóm APT đã lao vào mà không cần được hỏi.
Gần như tự nhiên khi các chuyên gia của Kaspersky phát hiện ra một mô-đun độc hại, ẩn đằng sau phần mềm được cho là cung cấp chức năng bổ sung cho các máy chủ web của Microsoft. Ngoại trừ việc điều này cho phép tin tặc đánh cắp thông tin đăng nhập Outlook Web Access. Sau đó, chúng có tất cả thời gian để hoạt động, theo cách vừa lén lút vừa khó bị phát hiện, một điều khiển từ xa trên máy chủ bên dưới.
Phần mềm độc hại Owowa được triển khai rất dễ dàng bằng cách gửi các yêu cầu có vẻ như vô hại, vì chúng được thực hiện dưới dạng yêu cầu xác thực tới Outlook. Và nếu ” các cuộc tấn công có vẻ không tinh vi lắm “, theo quan điểm của nhà nghiên cứu Paul Rascagnères có vẻ là một tin tốt, dù sao thì Owowa cũng rất nguy hiểm, bởi vì” nó được duy trì ngay cả trong trường hợp có bản cập nhật của Microsoft Exchange “, Anh ấy giải thích với chúng tôi, điều này sẽ khiến anh ấy trở thành một phần mềm độc hại dai dẳng thực sự. ” Owowa đặc biệt nguy hiểm vì kẻ tấn công có thể sử dụng nó để đánh cắp thông tin đăng nhập của những người dùng đang truy cập hợp pháp vào các dịch vụ web một cách thụ động. Đó là một cách kín đáo hơn nhiều để có được quyền truy cập từ xa hơn là gửi email lừa đảo. “Pierre Delcher, một nhà nghiên cứu GReAT khác tại Kaspersky, cho biết thêm.
Các mục tiêu nằm ở Châu Á, nhưng Châu Âu sẽ không bị bỏ qua
Nói một cách đơn giản, tội phạm mạng quản lý như thế nào để khai thác phần mềm độc hại của chúng? ” Tội phạm mạng chỉ cần truy cập trang đăng nhập OWA của máy chủ bị tấn công để nhập các lệnh được chế tạo đặc biệt vào các trường tên người dùng và mật khẩu. Do đó, chúng có thể xâm nhập một cách hiệu quả vào các mạng được nhắm mục tiêu và tự duy trì bên trong một máy chủ Exchange. “, Kaspersky mô tả.
Một số máy chủ hiện đã bị xâm nhập đã được Kaspersky xác định ở Châu Á. Các mục tiêu đã được chứng minh thực sự là ở Indonesia, Malaysia, Philippines và Mông Cổ. ” Hầu hết được liên kết với các tổ chức chính phủ và một với một công ty vận tải nhà nước. Có khả năng là đã có những nạn nhân khác ở châu Âu “, Chuyên gia an ninh mạng lo ngại, người không thể nói công khai hơn ở giai đoạn này.
Hiện tại, Kaspersky không quy kết quan hệ cha con với Owowa. Công ty vẫn chưa tìm thấy bất kỳ liên kết nào đến một tác nhân gây ra mối đe dọa mạng được biết đến, mặc dù tên người dùng của nhóm kẻ tấn công, “S3crt” (nghĩa là “bí mật”), đã là nguồn gốc của các tải trọng độc hại trong quá khứ. Hiện tại, điều này vẫn chỉ là suy đoán và vẫn còn thiếu thông tin để xác định rõ ràng nhóm đứng sau Owowa.
Để bảo vệ chống lại anh ta, Kaspersky khuyến nghị các công ty giám sát chặt chẽ các máy chủ Exchange, những máy chủ vẫn ” đặc biệt nhạy cảm và chứa tất cả các trao đổi e-mail của họ “, Paul Rascagnères giải thích, người khuyên” coi tất cả các mô-đun đang chạy là quan trọng và kiểm tra chúng thường xuyên để hạn chế rủi ro.
Về cùng một chủ đề:
Lỗ hổng Log4j: một bản vá mới do Apache phát hành
