اجرای یک حمله پیشرفته با سوءاستفاده از OWA

شرکت امنیتی Cybereason، از کشف یک حمله پیشرفته و مستمر (APT) خبر داده که در آن با فراخوانی یک فایل آلوده در Microsoft Outlook Web Application، به اختصار OWA، اطلاعات اصالت سنجی کاربران سرور ایمیل Exchange ضبط و شنود می شده است. بدین ترتیب، گردانندگان این حمله قادر بوده اند از اطلاعات جمع آوری شده برای دسترسی به صندوق های پستی کاربران سازمان استفاده کنند. صندوق هایی که بالقوه حاوی اطلاعات حساس و محرمانه سازمانی بودند.

به گزارش شرکت مهندسی شبکه گستر به نقل از Cybereason، این حمله تنها در شبکه یک سازمان کشف شده و بر طبق بررسی های انجام شده، حمله به طور خاص برای آن سازمان طراحی شده بوده.

OWA واسط کاربری تحت وب شرکت مایکروسافت برای کاربرانی است که در سرور ایمیل Microsoft Exchange دارای صندوق پستی هستند. به واسطه یکپارچگی Microsoft Exchange با Microsoft Active Directory، دسترسی به اطلاعات اصالت سنجی OWA، بدان معناست که این نفوذگران نه تنها به صندوق های پستی، بلکه به تمامی حساب های کاربری دامنه سازمان دسترسی کامل پیدا کرده اند.

نتیجه تحقیقات Cybereason، نشان می دهد این نفوذگران با ساخت یک فایل OWAAUTH.dll ویژه و جایگزین کردن آن با OWAAUTH.dll اصلی شرکت مایکروسافت، به چنین دسترسی دست یافته بودند. وظیفه فایل OWAAUTH.dll مدیریت بخش اصالت سنجی OWA است.

جایگزین شدن فایل OWAAUTH.dll، احتمال مشارکت فردی در درون سازمان با این نفوذگران را قوت می بخشد.

مشروح گزارش Cybereason از اینجا قابل دریافت است.