Pozor na skrytého parazita v Microsoft Exchange Serveru! | IT SECURITY NETWORK NEWS

IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Pozor na skrytého parazita v Microsoft Exchange Serveru!

Dosud neznámý modul IIS (software umožňující přidání dalších funkcí u webových serverů od Microsoftu), který krade přihlašovací údaje uživatelů při logování do aplikace Outlook Web Access (OWA), objevila společnost Kaspersky. Škodlivý doplněk, který nazvala Owowa, umožňuje útočníkům získat také přístup ke vzdálenému ovládání základního serveru. Vznikl mezi koncem roku 2020 a dubnem 2021 a využívá metodu skryté krádeže, jež odolává metodám ochrany pomocí monitoringu sítě. Je také odolný vůči aktualizacím Exchange Serveru, takže se může v zařízení ukrývat po dlouhou dobu.

V roce 2021 využívali aktéři pokročilých hrozeb stále častěji zranitelnosti Microsoft Exchange Serveru. Čtyři kritické zranitelnosti těchto serverů umožnily útočníkům získat v březnu přístup ke všem registrovaným e-mailovým účtům a spustit libovolný kód. Při hledání dalších potenciálně škodlivých implantátů v systému Exchange narazili odborníci společnosti Kaspersky na škodlivý modul, který útočníkům umožňuje krást přihlašovací údaje pro Outlook Web Access a získat kontrolu nad vzdáleným přístupem k základnímu serveru. Zákeřné funkce tohoto modulu, kterému dala společnost Kaspersky jméno Owowa, lze snadno spustit odesláním zdánlivě neškodných požadavků – v tomto případě požadavků na ověření OWA.

Analytici společnosti Kaspersky se domnívají, že modul byl sestaven mezi koncem roku 2020 a dubnem 2021, a zjistili, že míří na cíle v Malajsii, Mongolsku, Indonésii a na Filipínách. Většina obětí byla napojena na vládní organizace a další na státní dopravní podnik. Je pravděpodobné, že další oběti jsou také v Evropě.

Kyberzločincům stačí získat přístup k přihlašovací stránce OWA napadeného serveru a zadat do polí pro uživatelské jméno a heslo speciální příkazy. To umožní útočníkům usadit se uvnitř serveru Exchange a získat tak pevný opěrný bod v napadených sítích.

Výzkumníkům společnosti se zatím nepodařilo přiřadit modul Owowa k žádnému známému aktérovi hrozeb. Přesto zjistili, že je spojen s uživatelským jménem S3crt používaným vývojářem, který může stát za několika dalšími škodlivými binárními zavaděči. Slovo S3crt je ale jednoduchou odvozeninou z anglického slova secret a mohlo by ho klidně používat víc osob. Proto je také možné, že tyto škodlivé binární soubory a Owowa spolu nijak nesouvisejí.

TZ

security

Google odkládá vyřazení souborů cookie třetích stran

security

Google odkládá vyřazení souborů cookie třetích stran kvůli kontrole britských regulačních orgánů

Společnost Google opět odložila své plány na zrušení sledovacích souborů cookie třetích stran ve svém webovém prohlížeči Chrome, protože se snaží vyřešit nevyřešené obavy britských

ČÍST DÁLE »

Radek Vyškovský 26 dubna, 2024

Jana Havrdová o řešení IcyBear

security

Jana Havrdová o řešení IcyBear

Dnešní doba spěje k tomu, že ten, kdo se neochrání v digitálním prostoru, ať už jsou to jednotlivci, rodiny, nebo majitelé firem, je vystavený extrémnímu

ČÍST DÁLE »

Radek Vyškovský 26 dubna, 2024

BlackTech Deuterbear

security

BlackTech se zaměřuje na technický, výzkumný a státní sektor novým nástrojem Deuterbear

Technologický, výzkumný a vládní sektor v asijsko-pacifickém regionu se v rámci nedávné vlny kybernetických útoků stal terčem útoků aktéra BlackTech. Tyto průniky otevírají cestu aktualizované

ČÍST DÁLE »

Radek Vyškovský 26 dubna, 2024

Weby vydavatelství AVERIA LTD.: • ict-nn.com • b2b-nn.com • iot-nn.com • itsec-nn.com • netguru-nn.com • gamers-generation.com • ew-nn.com • rc-nn.com • dc-nn.com • cb-nn.com • sm-nn.com • cw-nn.com • egov-nn.com • kankry.cz • jobs-nn.com • zdravi-lide.cz
AVERIA LTD., Company number 06972108, Enterprise House, 2 Pass Street, OL9 6HZ Manchester – Oldham, United Kingdom
IT SECURITY NETWORK NEWS by AVERIA LTD. © 2022 – Osobní údaje – Cookies