Ein schädliches Modul in den Internet Information Services (IIS) hat die Outlook Web App (OWA), bzw. Outlook im Web zu einem Tool für Remote-Zugriff und den Diebstahl von Anmeldedaten gemacht. Unbekannte Akteure haben ein Modul, das von unseren Forschern OWOWA genannt wird, bereits für gezielte Angriffe verwendet.
Warum sich Angreifer für Outlook im Web interessieren
Outlook im Web (ehemalig als Exchange Web Connect, Outlook Web Access und Outlook Web App oder einfach OWA bekannt) ist eine webbasierte Benutzeroberfläche, die den Zugriff auf die Microsoft-PIM-Dienste (Personal Information Manager) ermöglicht. Die App ist auf einem Webserver implementiert, auf dem Internet Information Services (IIS) laufen.
Viele Unternehmen benutzen die App, um ihren Mitarbeitern Remote-Zugriff auf Firmen-Mailboxen und dienstliche digitale Kalender zu ermöglichen, ohne dafür einen eigenen Client installieren zu müssen. Es gibt mehrere Methoden für die Implementierung von Outlook im Web. Eine davon umfasst die Verwendung von Exchange Server vor Ort und genau daran sind Internetverbrecher interessiert. Theoretisch erhalten die Verbrecher mit der Kontrolle über die App den Zugriff auf die Firmenkorrespondenz, in der sich eine Menge an Informationen befindet, die für groß angelegte Angriffe auf die Unternehmensinfrastruktur dienen und auch für BEC-Kampagnen (Business E-Mail Compromise) verwendet werden können.
Wie OWOWA funktioniert
OWOWA wird auf kompromittierten IIS-Webservern als ein Modul für alle kompatiblen Apps geladen. Aber die Aufgabe dieses Moduls besteht darin, die Anmeldedaten abzufangen, die auf Outlook im Web eingegeben werden. Die Malware überprüft Anfragen und Antworten auf der Anmeldeseite von Outlook im Web. Wird erkannt, dass ein Benutzer gültige Anmeldedaten eingegeben und das Authentifizierungstoken erhalten hat, werden der Benutzername und das Kennwort automatisch in einer Datei gespeichert und verschlüsselt.
OWOWA ermöglicht es den Angreifern außerdem die Funktionalität des Moduls über dieselbe Authentifizierungsmethode zu kontrollieren. Indem ein Angreifer bestimmte Befehle in die Felder für den Benutzernamen und das Kennwort eingibt, können Informationen abgerufen, die Logdatei gelöscht oder willkürliche Befehle über PowerShell auf dem kompromittierten Server ausgeführt werden.
Für eine detaillierte technische Beschreibung des Moduls und der Gefährdungsindikatoren, werfen Sie bitte einen Blick auf unseren Securelist-Artikel.
Auf welche Opfer zielen die OWOWA-Angriffe ab?
Unsere Experten haben OWOWA-basierte Angriffe auf Servern in diversen asiatischen Ländern entdeckt: Malaysia, Mongolei, Indonesien und Philippinen. Allerdings haben unsere Experten Grund zur Annahme, dass die Internetverbrecher auch vorhaben, Organisationen in Europa anzugreifen.
Die meisten Angriffe zielten auf Regierungsorganisationen ab, darunter auch mindestens ein Transportunternehmen (ebenfalls in staatlicher Hand).
So schützen Sie sich vor OWOWA
Mithilfe des Befehlszeilentool Appcmd.exe – oder dem normalen Konfigurationstool von IIS – ist es möglich das schädliche OWOWA-Modul (oder andere Drittanbieter-IIS-Module) auf dem IIS-Webserver zu finden. Denken Sie auch daran, dass alle mit dem Internet verbundenen Server, wie beispielsweise Computer angemessenen Schutz brauchen.