WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Mã độc tấn công mailserver của Outlook đánh cắp vô số mật khẩu
Một loại mã độc nguy hiểm bị phát hiện có thể đánh cắp hầu hết mật khẩu email của các tổ chức bằng cách lây nhiễm vào Outlook Web App (OWA) mail server của các tổ chức này trong một khoảng thời gian nhất định.
Các nhà nghiên cứu từ hãng Cybereason, sau khi nhận được một cuộc gọi từ một công ty có hơn 19.000 thiết bị cuối, đã phát hiện thấy module OWA độc hại. Khách hàng cũng nhận ra đường mạng họ sử dụng có một vài biểu hiện khác thường và đã yêu cầu Cybereason kiểm tra dấu hiệu tấn công. Hãng an ninh nhanh chóng tìm thấy file DLL đáng nghi được tải về máy chủ OWA của công ty này. File có tên giống với file DLL thực nhưng không có chữ ký hợp lệ và được tải lên từ một thư mục khác.
File OWAAUTH.dll chứa một backdoor và do file này chạy trên server, nó có khả năng lấy được tất cả các truy vấn được bảo vệ bằng HTTPS sau khi đã giải mã thành công. Kết quả là tin tặc có khả năng đánh cắp mật khẩu của bất kỳ ai truy cập server này.
Các nhà nghiên cứu của Cybereason cho hay trong trường hợp này hacker đã tiếp cận được thành phần quan trọng là OWA server. OWA đã được cấu hình theo cách thức cho phép truy cập từ Internet vào máy chủ. Điều này cho phép hacker thiết lập quyền điều khiển đối với môi trường của toàn bộ tổ chức mà không bị phát hiện trong khoảng thời gian vài tháng.
OWA là nguồn tiếp cận có giá trị đặc biệt đối với tin tặc bởi nó là cầu nối giữa mạng Internet công cộng và mạng nội bộ. Việc cho phép sử dụng OWA để kích hoạt truy cập người dùng từ xa vào Outlook đã tạo cơ hội cho tin tặc tiếp cận thông tin xác thực của toàn bộ tổ chức.
Các nhà nghiên cứu từ hãng Cybereason, sau khi nhận được một cuộc gọi từ một công ty có hơn 19.000 thiết bị cuối, đã phát hiện thấy module OWA độc hại. Khách hàng cũng nhận ra đường mạng họ sử dụng có một vài biểu hiện khác thường và đã yêu cầu Cybereason kiểm tra dấu hiệu tấn công. Hãng an ninh nhanh chóng tìm thấy file DLL đáng nghi được tải về máy chủ OWA của công ty này. File có tên giống với file DLL thực nhưng không có chữ ký hợp lệ và được tải lên từ một thư mục khác.
File OWAAUTH.dll chứa một backdoor và do file này chạy trên server, nó có khả năng lấy được tất cả các truy vấn được bảo vệ bằng HTTPS sau khi đã giải mã thành công. Kết quả là tin tặc có khả năng đánh cắp mật khẩu của bất kỳ ai truy cập server này.
Các nhà nghiên cứu của Cybereason cho hay trong trường hợp này hacker đã tiếp cận được thành phần quan trọng là OWA server. OWA đã được cấu hình theo cách thức cho phép truy cập từ Internet vào máy chủ. Điều này cho phép hacker thiết lập quyền điều khiển đối với môi trường của toàn bộ tổ chức mà không bị phát hiện trong khoảng thời gian vài tháng.
OWA là nguồn tiếp cận có giá trị đặc biệt đối với tin tặc bởi nó là cầu nối giữa mạng Internet công cộng và mạng nội bộ. Việc cho phép sử dụng OWA để kích hoạt truy cập người dùng từ xa vào Outlook đã tạo cơ hội cho tin tặc tiếp cận thông tin xác thực của toàn bộ tổ chức.
Nguồn: Arstechnica
Chỉnh sửa lần cuối bởi người điều hành: