Outlook na versão web atrai invasores

O módulo malicioso nos Serviços de Informações da Internet torna o Outlook na versão web uma ferramenta para os cibercriminosos.

Um módulo malicioso dos Serviços de Informações da Internet (IIS, sigla em inglês) está transformando o Outlook na versão web em uma ferramenta para roubar credenciais e um painel de acesso remoto.  Atores desconhecidos usaram o módulo, que nossos pesquisadores chamam de OWOWA, em ataques direcionados.

Por que o Outlook na versão web atrai invasores

O Outlook na versão web (anteriormente conhecido como Exchange Web Connect, Outlook Web Access e Outlook Web App ou simplesmente OWA) é uma interface baseada na Web para acessar o serviço Gerenciador de Informações Pessoais da Microsoft.  O aplicativo é implantado em servidores Web que executam o IIS.

Muitas empresas o usam para fornecer aos funcionários acesso remoto a caixas de entrada e calendários corporativos sem a necessidade de instalar um cliente dedicado.  Existem vários métodos de implementação do Outlook na web, um dos quais envolve o uso do Exchange Server no local, o que atrai os cibercriminosos.  Em teoria, obter o controle desse aplicativo dá a eles acesso a toda a troca de e-mails empresarias, junto com oportunidades infinitas de expandir seu ataque à infraestrutura e realizar ataques BEC.

Como OWOWA funciona

O OWOWA é carregado em servidores da Web IIS comprometidos como um módulo para todos os aplicativos compatíveis, mas seu objetivo é interceptar credenciais inseridas no OWA.  O malware verifica as solicitações e respostas no Outlook na página de login da Web e, se perceber que um usuário inseriu credenciais e recebeu um token de autenticação em resposta, ele grava o nome de usuário e a senha em um arquivo (em formato criptografado).

Além disso, o OWOWA permite que os invasores controlem sua funcionalidade diretamente por meio do mesmo formulário de autenticação.  Ao inserir certos comandos nos campos de nome de usuário e senha, um invasor pode recuperar as informações coletadas, excluir o arquivo de log ou executar comandos arbitrários no servidor comprometido por meio do PowerShell.

Para uma descrição técnica mais detalhada do módulo com indicadores de comprometimento, consulte a publicação da Securelist.

Quem são as vítimas dos ataques OWOWA?

Nossos especialistas detectaram ataques baseados em OWOWA em servidores em vários países asiáticos: Malásia, Mongólia, Indonésia e Filipinas.  No entanto, nossos especialistas têm motivos para acreditar que os cibercriminosos também estão interessados ​​em organizações na Europa.

A maioria dos alvos eram agências governamentais, com pelo menos uma sendo uma empresa de transporte (também estatal).

Como se proteger contra OWOWA

Você pode usar o comando appcmd.exe – ou a ferramenta de configuração normal do IIS – para detectar o módulo OWOWA malicioso (ou qualquer outro módulo IIS de terceiros) no servidor Web IIS.  Lembre-se, entretanto, de que qualquer servidor voltado para a Internet, como qualquer computador, precisa de proteção.

Dicas