Microsofts Outlook Web App (OWA), der gør det muligt at tilgå Outlook fra en browser, er blevet udnyttet på det groveste af hackere.
Det skriver det amerikanske sikkerhedsfirma Cybereason i en analyse (PDF) af en Advanced Persistent Attack-metode, der retter sig mod Microsofts populære OWA.
Cybereason tager udgangspunkt i et konkret tilfælde, hvor en af virksomhedens kunder opdagede, at noget var på færde i it-miljøet:
"I dette tilfælde fik hackere fodfæste i et meget strategisk aktiv: OWA-serveren. OWA kræver næsten per definition af organisationer, at de definerer relativt lette restriktioner, og i dette tilfælde var OWA konfigureret på en måde, der gav adgang til serveren fra internettet," forklarer Cybereason.
"Dette gav hackerne mulighed for at etablere vedblivende kontrol over hele organisationens miljø i en periode på flere måneder uden at blive opdaget."
Cybereason forklarer, at angrebet fandt sted ved, at ondsindet kode blev installeret på OWA-serveren.
Fik oplysningerne i klar tekst
Med koden på serveren kunne hackerne begynde at opsnappe blandt andet login-oplysninger fra en lang række brugere, der så siden kunne anvendes i det videre forsøg på at stjæle data uden at blive opdaget.
"... fordi OWA-autentificeringen er baseret på domæne-loginoplysninger, bliver den, der opnår adgang til OWA-serveren, ejer af hele organisationens domæne-logins."
Hackerne installerede filen OWAAUTH.dll, som OWA brugte som en del af login-mekanismen, forklarer Cybereason, der videre kan fortælle, at hackerne også installerede et ISAPI-filter på ISS-serveren.
"Dette gjorde hackerne i stand til at få alle forespørgsler i klar tekst efter SSL/TLS dekryptering."
Cybereason påpeger, at mens de fleste sikkerhedsfolk forstår, hvor følsomme data på A/D-serveren er, så skal man være opmærksom på, at en OWA-server kan indeholde præcis de samme følsomme data.
Det fremgår ikke af Cybereasons rapport, hvor alvorlig truslen mod OWA generelt er - selvom det konkrete angreb altså i sig selv var ganske alvorligt for den ramte virksomhed.
Læs også:
Slut med at vedhæfte filer til emails: Her er Microsofts nye løsning
Microsoft er på vej med den næste Exchange-server: Her er de store nyheder
