2022.01.16. 15:00
Felbukkant az Owowa, a rejtett parazita
Hitelesítőadat-lopó Microsoft Exchange bővítményre bukkant a Kaspersky.
Owowa névre keresztelte a Kaspersky azt a korábban ismeretlen IIS modult (a Microsoft webszerverek számára további funkciókat biztosító szoftverelemet), amely a felhasználó által a Webes Outlookba (OWA-ba) történő bejelentkezéskor megadott hitelesítő adatokat lopja el.
A modul lehetővé teszi továbbá, hogy a támadók távvezérelt hozzáférést nyerjenek az érintett szerverhez. A valamikor 2020 vége és 2021. áprilisa között létrehozott modul egy ravaszul álcázott lopási módszer, amelyet hálózatfigyeléssel nehéz észrevenni. Ráadásul az Exchange szoftverfrissítéseinek is ellenáll, így hosszú ideig rejtve tud maradni a készülékeken.
2021-ben a fejlett fenyegetéseket alkalmazó csoportok egyre jobban kiaknázták a Microsoft Exchange Server sérülékenységeit. Márciusban a szerverek négy kritikus sérülékenysége lehetővé tette, hogy a támadók hozzáférést nyerjenek az összes regisztrált e-mail-fiókhoz, és önkényes kódot futtassanak. A további potenciálisan kártékony beépülő elemek után kutatva a Kaspersky szakértői felfedeztek egy kártékony modult, amely lehetővé teszi, hogy a támadók ellopják a Webes Outlooknál használt bejelentkezési adatokat, és távvezérelt hozzáférést nyerjenek az érintett szerverhez. A Kaspersky által az Owowa névre keresztelt modul kártékony képességei könnyen beindíthatók, már egy látszólag ártalmatlan kéréssel is – ebben az esetben egy OWA hitelesítési kéréssel.
A kiberbűnözőknek csak egy feltört szerver OWA bejelentkezési oldalához kell hozzáférniük ahhoz, hogy speciálisan megszerkesztett parancsokat írjanak be a felhasználó és a jelszó mezőkbe. Ez hatékony módszert kínál arra, hogy a támadók szilárdan megvessék a lábukat a célba vett hálózatokban, ugyanis a kártékony modul tartósan ott marad az Exchange szerveren.
A Kaspersky kutatói egyetlen ismert támadócsoporttal sem tudták összefüggésbe hozni az Owowát. Ugyanakkor azt találták, hogy az „S3crt” felhasználónévhez kapcsolható, ez a név pedig egy olyan fejlesztőt takar, aki számos másik kártékony bináris betöltőprogram mögött állhat.
Mindazonáltal az „S3crt” egész egyszerűen az angol „secret” (titok) szóból származik,így aztán többen is használhatják. Éppen ezért az is lehetséges, hogy semmilyen kapcsolat nincs ezek között a kártékony bináris fájlok és az Owowa között.
„Az Owowa azért jelent különösen nagy veszélyt, mert a modul segítségével egy támadó passzívan ellophatja a hitelesítési adatokat a webes szolgáltatásokhoz törvényesen hozzáférő felhasználóktól. Ez sokkal ravaszabb módja a távoli hozzáférés megszerzésének, mint az adathalász e-mailek küldése. Továbbá, bár az IIS konfigurációs eszközök használhatók az ilyen fenyegetések észlelésére, nem képezik a szokásos fájl- és hálózatmegfigyelési tevékenységek részét, ezért a biztonsági eszközök könnyen figyelmen kívül hagyják az Owowát” – mondta el Miroslav Koren, a Kaspersky Kelet-Európáért felelős igazgatója.
„Mivel az Owowa egy IIS modul, ez azt is jelenti, hogy még a Microsoft Exchange frissítését követően is megmarad. A jó hír az, hogy a támadók nem tűnnek nagyon kifinomultnak. A vállalatoknak szoros ellenőrzés alatt kell tartaniuk az Exchange szervereket, ugyanis nagyon érzékenyek, és az összes vállalati e-mailt tartalmazzák. Javasoljuk továbbá azt is, hogy minden futó modult tekintsenek kritikus fontosságúnak, és rendszeresen ellenőrizzék őket” – fejtette ki Paul Rascagneres, a Kaspersky globális kutató és elemző csapatának vezető biztonsági kutatója.
Borítóképünk illusztráció