Experten berichten von erfolgreichem Angriff über Outlook Web Access

SicherheitSicherheitsmanagement
Security in Firmen (Shutterstock /Mikko Lemola)

Dabei wurden Anmeldedaten von über 11.000 Mitarbeitern erbeutet. Die Angreifer hatten laut ihren Entdeckern von der Firma Cybereason auf dem OWA-Server eine manipulierte DLL-Datei platziert, die ihnen eine Hintertür einrichtete

Experten von Cybereason haben einen ziekgerichteten Angriff auf eine große Organisation aufgedeckt, bei dem sich die Angreifer über Outlook Web Access (OWA) Zugang verschafft haben. Durch den Angriff wurden Benutzernamen und E-Mail-Passwörter von über 11.000 Mitarbeitern erbeutet. Die verwendete Malware wurde mehrere Monate hinweg nicht bemerkt.

Cybereayson Logo (Grafik: Cyberason)

Nachdem es mehrere auffällige Verhaltensweisen festgestellt hatte, vermuteten die Sicherheitsverantwortlichen des betroffenen Unternehmen jedoch eine Infektion des OWA-Servers, der den Abruf von E-Mails per Webmail erlaubt. Die nachfolgende Analyse durch die zur Unterstützung herbeigerufene Firma Cybereason zeigte, dass die Angreifer alle Anmeldedaten mitgeschnitten und zugleich eine Backdoor eingerichtet hatten.

Als Einfallstor wurde schließlich eine DLL-Datei auf dem OWA-Server ausgemacht. “Obwohl sie die Bezeichnung einer anderen und harmlosen DLL hatte, war die verdächtige DLL unsigniert und wurde aus einem anderen Verzeichnis geladen”, heißt es in der Analyse (PDF) der Sicherheitsfirma. Die Software war raffiniert genug, um auch einen Neustart des Servers zu überstehen.

In einem lokalen Cache legte die Malware über 11.000 abgefangene Kombinationen von Benutzernamen und Passwort ab. Diese konnten von den Angreifern aus der Ferne abgerufen werden. Ungeklärt blieb, wie die Malwaree ihren Weg auf den Server fand. Verschärft wurde das Problem laut Cybereason dadurch, dass OWA-Authentifizierung auf Domain-Zugangsdaten basiert: “Wer immer Zugang zum OWA-Server erhält, wird Besitzer der Domain-Anmeldedaten der gesamten Organisation.”

Da die manipulierte DLL auf dem Server lief, konnte sie alle HTTPS-geschützten Serveranfragen nach ihrer Entschlüsselung abfangen. “Den Hackern gelang es in diesem Fall, auf strategisch wichtigem Boden Fuß zu fassen, dem OWA-Server”, schreiben die Sicherheitsforscher. “Fast per definitionem verlangt OWA von Organisationen, relativ laxe Einschränkungen zu bestimmen.” OWA sei ein besonders interessantes Ziel für Angreifer, da es als Vermittler zwischen dem öffentlichen Internet und internen Ressourcen hinter der Firewall einer Firma fungiert. Cybereason geht von einem gezielten Angriff auf die ungenannte Organisation aus.

[mit Material von Bernd Kling, ZDNet.de]

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen