Хакеры взломали сервер клиента Microsoft OWA, украв 11 000 пользовательских паролей
3776
Проблема была обнаружена компанией по безопасности Cybereason. К их услугами обратились после того, как IT-отдел пострадавшей компании обнаружил подозрительное поведение на сервере OWA.
Microsoft Outlook Web Application (OWA) - веб-сервер электронной почты, компонент Microsoft Exchange Server, который может быть развернут в компаниях для обеспечения внутренней электронной почты.
Хакеры заменили DLL на сервере OWA
Как объяснили в Cybereason, злоумышленники заменили библиотеку OWAAUTH.dll файлом с бекдором и возможностью записи информации о процедуре идентификации вместо стандартного сервера Active Directory.
Даже если процедура идентификации проводилась бы обычным OWA-сервером, использовав шифрование SSL/TLS, хакерская DLL смогла бы всё равно получить всю информацию из-за работы уже на стадии декодирования. Данные пользователей (логин и пароль), авторизовавшихся на зараженном сервере уже точно есть у хакеров.
Хакеры украли 11000 логинов и паролей
Все зарегистрированные данные хранились в файле log.txt в разделе "C:\". Работники Cybereason нашли более чем 11000 пользовательских пар логин-пароль в файле, а в компании, которой принадлежит сервер зарегистрировано приблизительно 19,000 сотрудников.
Хакеры даже предприняли шаги против удаления зловредного файла, создав IIS-фильтр, который бы загружал их файл обратно на сервер каждый раз после перезагрузки сервера.
Кроме того, они также добавили специальную возможность, которая выполняла команды хакеров на сервере, замаскировав их под обычный интернет-трафик. Как произошла подмена DLL пока непонятно, но всем крупным компаниям сейчас надо быть внимательными к активности на серверах.
Одним из самых любимых мест в нашем доме безусловно является диван. Самые удобные
диваны в Киеве Подол вы можете найти на сайте интернет-магазина Merelli, где вы можете найти также подходящий вам диван по месту, по типу, по цене и по производителю. Почувствуйте себя комфортно на отличных и удобных диванах.
Комментарии
Желтушная какая-то новость. Явно ломанули же не Exchange/OWA, а права эксченджевского админа (хорошо хоть не доменного, иначе и морочиться с подменой не надо было бы) раздобыли каким-то образом. И получили "это уже наш сервер". Подмена очень простая после этого: остановить сервис, заменить длл, запустить сервис. Да и вообще можно что угодно на "своем" сервере творить.
По теме
- Microsoft Exchange ограничит входящий поток писем 3600 в час
- Выпущено первое накопительное обновление для Exchange Server 2013
- Microsoft планирует показать Exchange 15 в сентябре
- Microsoft выпустила Exchange Server 2010 SP2
- Microsoft готовит второй пакет обновлений для Exchange 2010
- Встречайте нового провайдера услуг для Exchange - Google
- Microsoft лидирует на рынке корпоративных почтовых систем
- Microsoft выпустила Exchange 2010 SP1
- Microsoft анонсировала свои планы относительно Exchange Server 2010 SP1
- Exchange 2007 SP3 выйдет лишь во втором полугодии 2010 года