Sicherheitsexperten von Cybereason berichten von einem erfolgreichen Angriff über Outlook Web Access (OWA), bei dem Benutzernamen und E-Mail-Passwörter von über 11.000 Mitarbeitern einer großen Organisation erbeutet wurden. Die dabei eingesetzte Malware wurde über Monate hinweg nicht bemerkt, obwohl durch sie letztlich die gesamte IT-Umgebung der Firma kompromittiert wurde.
Verursacht wurde das Problem durch eine verdächtige DLL-Datei, die auf dem OWA-Server geladen war. „Obwohl sie die Bezeichnung einer anderen und harmlosen DLL hatte, war die verdächtige DLL unsigniert und wurde aus einem anderen Verzeichnis geladen“, heißt es in der Analyse (PDF) der Sicherheitsfirma. Die Software war raffiniert genug, auch nach jedem Neustart des Servers für ihr erneutes Laden zu sorgen.
In einem lokalen Cache legte die Malware über 11.000 abgefangene Paare von Benutzernamen und Passwort ab – und diese konnten aus der Ferne abgerufen werden. Ungeklärt blieb, wie die bösartige Software ihren Weg auf den Server fand. Verschärft wurde das Problem laut Cybereason dadurch, dass OWA-Authentifizierung auf Domain-Zugangsdaten basiert: „Wer immer Zugang zum OWA-Server erhält, wird Besitzer der Domain-Anmeldedaten der gesamten Organisation.“
Da die manipulierte DLL auf dem Server lief, konnte sie alle HTTPS-geschützten Serveranfragen nach ihrer Entschlüsselung abfangen. „Den Hackern gelang es in diesem Fall, auf strategisch wichtigem Boden Fuß zu fassen, dem OWA-Server“, schreiben die Sicherheitsforscher weiter. „Fast per definitionem verlangt OWA von Organisationen, relativ laxe Einschränkungen zu bestimmen.“ OWA sei ein besonders interessantes Ziel für Angreifer, da es als Vermittler zwischen dem öffentlichen Internet und internen Ressourcen hinter der Firewall einer Firma fungiert.
Cybereason geht von einem gezielten Angriff auf die ungenannte Organisation aus, Keine Aussagen machten die Sicherheitsexperten dazu, ob bereits weitere Unternehmen dieser Angriffsmethode ausgesetzt waren.
In vielen Unternehmen nutzen Mitarbeiter ihre privaten mobilen Geräte. Unternehmen, die dieser Szenario erlauben, sollten sich Gedanken über eine leistungsfähige Enterprise Mobility Management Suite machen. Nur damit lassen sich Unternehmensdaten gegen nicht autorisierten Zugriff absichern.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
