Опрос
Вы участвуете в программе Windows Insider?

Хакеры взломали сервер клиента Microsoft OWA, украв 11 000 пользовательских паролей

Напечатать страницу
06.10.2015 12:52 | runaq

Проблема была обнаружена компанией по безопасности Cybereason. К их услугами обратились после того, как IT-отдел пострадавшей компании обнаружил подозрительное поведение на сервере OWA.

Microsoft Outlook Web Application (OWA) - веб-сервер электронной почты, компонент Microsoft Exchange Server, который может быть развернут в компаниях для обеспечения внутренней электронной почты.

Хакеры заменили DLL на сервере OWA

Как объяснили в Cybereason, злоумышленники заменили библиотеку OWAAUTH.dll файлом с бекдором и возможностью записи информации о процедуре идентификации вместо стандартного сервера Active Directory.



Даже если процедура идентификации проводилась бы обычным OWA-сервером, использовав шифрование SSL/TLS, хакерская DLL смогла бы всё равно получить всю информацию из-за работы уже на стадии декодирования. Данные пользователей (логин и пароль), авторизовавшихся на зараженном сервере уже точно есть у хакеров.

Хакеры украли 11000 логинов и паролей

Все зарегистрированные данные хранились в файле log.txt в разделе  "C:\". Работники Cybereason нашли более чем 11000 пользовательских пар логин-пароль в файле, а в компании, которой принадлежит сервер зарегистрировано приблизительно 19,000 сотрудников.

Хакеры даже предприняли шаги против удаления зловредного файла, создав IIS-фильтр, который бы загружал их файл обратно на сервер каждый раз после перезагрузки сервера.
 
Кроме того, они также добавили специальную возможность, которая выполняла команды хакеров на сервере, замаскировав их под обычный интернет-трафик. Как произошла подмена DLL пока непонятно, но всем крупным компаниям сейчас надо быть внимательными к активности на серверах.



Одним из самых любимых мест в нашем доме безусловно является диван. Самые удобные
диваны в Киеве Подол вы можете найти на сайте интернет-магазина Merelli, где вы можете найти также подходящий вам диван по месту, по типу, по цене и по производителю. Почувствуйте себя комфортно на отличных и удобных диванах.

Комментарии

wbnet -10
Не в сети

Желтушная какая-то новость. Явно ломанули же не Exchange/OWA, а права эксченджевского админа (хорошо хоть не доменного, иначе и морочиться с подменой не надо было бы) раздобыли каким-то образом. И получили "это уже наш сервер". Подмена очень простая после этого: остановить сервис, заменить длл, запустить сервис. Да и вообще можно что угодно на "своем" сервере творить.

06.10.15 13:37
0
Для возможности комментировать войдите в 1 клик через

По теме

Акции MSFT
310.76 0.00
Акции торгуются с 17:30 до 00:00 по Москве
Все права принадлежат © ms insider @thevista.ru, 2020
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 2.34 (Страница создана за 0.04 секунд (Общее время SQL: 0.016 секунд - SQL запросов: 51 - Среднее время SQL: 0.00032 секунд))
Top.Mail.Ru