Outlook Web Access (OWA) weist Sicherheitslücken auf. Über diese Lecks konnten Angreifer Benutzernamen und E-Mail-Passwörter von über 11.000 Mitarbeitern einer großen Organisation erbeuten. Die dabei eingesetzte Malware wurde über Monate hinweg nicht bemerkt, obwohl durch sie letztlich die gesamte IT-Umgebung der Firma kompromittiert wurde, so das Sicherheitsunternehmen Cybereason.
Nachdem dem Sicherheitsteam des Unternehmens mehrere Anomalien auffielen, schlossen sie auf eine Infektion des OWA-Servers, der den Abruf von E-Mails per Webmail erlaubt. Eine Analyse durch Cybereason ergab, Angreifer Outlook Web Access tatsächlich ausnutzen konnten, um alle Anmeldedaten mitzuschneiden und zugleich eine Backdoor in der Infrastruktur des Opfers einzurichten.
Eine offenbar manipulierte DLL-Datei sorgte offenbar für diesen Angriff. “Obwohl sie die Bezeichnung einer anderen und harmlosen DLL hatte, war die verdächtige DLL unsigniert und wurde aus einem anderen Verzeichnis geladen”, heißt es in der Analyse (PDF) der Sicherheitsfirma. Die Software war raffiniert genug, auch nach jedem Neustart des Servers, sich selbst wieder mit zu starten.
In einem lokalen Cache legte die Malware über 11.000 abgefangene Paare von Benutzernamen und Passwort ab – und diese konnten aus der Ferne abgerufen werden. Ungeklärt blieb, wie die bösartige Software ihren Weg auf den Server fand. Verschärft wurde das Problem laut Cybereason dadurch, dass OWA-Authentifizierung auf Domain-Zugangsdaten basiert: “Wer immer Zugang zum OWA-Server erhält, wird Besitzer der Domain-Anmeldedaten der gesamten Organisation.”
Da die manipulierte DLL auf dem Server lief, konnte sie alle HTTPS-geschützten Serveranfragen nach ihrer Entschlüsselung abfangen. “Den Hackern gelang es in diesem Fall, auf strategisch wichtigem Boden Fuß zu fassen, dem OWA-Server”, schreiben die Sicherheitsforscher weiter. “Fast per definitionem verlangt OWA von Organisationen, relativ laxe Einschränkungen zu bestimmen.” OWA sei ein besonders interessantes Ziel für Angreifer, da es als Vermittler zwischen dem öffentlichen Internet und internen Ressourcen hinter der Firewall einer Firma fungiert.
Cybereason geht von einem gezielten Angriff auf die ungenannte Organisation aus, Keine Aussagen machten die Sicherheitsexperten dazu, ob bereits weitere Unternehmen dieser Angriffsmethode ausgesetzt waren.
[mit Material von Bernd Kling, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…
Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.