Ein sch\u00e4dliches Modul in den Internet Information Services (IIS) hat die Outlook Web App (OWA), bzw. Outlook im Web zu einem Tool f\u00fcr Remote-Zugriff und den Diebstahl von Anmeldedaten gemacht. Unbekannte Akteure haben ein Modul, das von unseren Forschern OWOWA genannt wird, bereits f\u00fcr gezielte Angriffe verwendet.<\/p>\n
Outlook im Web (ehemalig als Exchange Web Connect, Outlook Web Access und Outlook Web App oder einfach OWA bekannt) ist eine webbasierte Benutzeroberfl\u00e4che, die den Zugriff auf die Microsoft-PIM-Dienste (Personal Information Manager) erm\u00f6glicht. Die App ist auf einem Webserver implementiert, auf dem Internet Information Services (IIS) laufen.<\/p>\n
Viele Unternehmen benutzen die App, um ihren Mitarbeitern Remote-Zugriff auf Firmen-Mailboxen und dienstliche digitale Kalender zu erm\u00f6glichen, ohne daf\u00fcr einen eigenen Client installieren zu m\u00fcssen. Es gibt mehrere Methoden f\u00fcr die Implementierung von Outlook im Web. Eine davon umfasst die Verwendung von Exchange Server vor Ort und genau daran sind Internetverbrecher interessiert. Theoretisch erhalten die Verbrecher mit der Kontrolle \u00fcber die App den Zugriff auf die Firmenkorrespondenz, in der sich eine Menge an Informationen befindet, die f\u00fcr gro\u00df angelegte Angriffe auf die Unternehmensinfrastruktur dienen und auch f\u00fcr BEC-Kampagnen (Business E-Mail Compromise) verwendet werden k\u00f6nnen.<\/p>\n
OWOWA wird auf kompromittierten IIS-Webservern als ein Modul f\u00fcr alle kompatiblen Apps geladen. Aber die Aufgabe dieses Moduls besteht darin, die Anmeldedaten abzufangen, die auf Outlook im Web eingegeben werden. Die Malware \u00fcberpr\u00fcft Anfragen und Antworten auf der Anmeldeseite von Outlook im Web. Wird erkannt, dass ein Benutzer g\u00fcltige Anmeldedaten eingegeben und das Authentifizierungstoken erhalten hat, werden der Benutzername und das Kennwort automatisch in einer Datei gespeichert und verschl\u00fcsselt.<\/p>\n
OWOWA erm\u00f6glicht es den Angreifern au\u00dferdem die Funktionalit\u00e4t des Moduls \u00fcber dieselbe Authentifizierungsmethode zu kontrollieren. Indem ein Angreifer bestimmte Befehle in die Felder f\u00fcr den Benutzernamen und das Kennwort eingibt, k\u00f6nnen Informationen abgerufen, die Logdatei gel\u00f6scht oder willk\u00fcrliche Befehle \u00fcber PowerShell auf dem kompromittierten Server ausgef\u00fchrt werden.<\/p>\n
F\u00fcr eine detaillierte technische Beschreibung des Moduls und der Gef\u00e4hrdungsindikatoren, werfen Sie bitte einen Blick auf unseren Securelist-Artikel<\/a>.<\/p>\n Unsere Experten haben OWOWA-basierte Angriffe auf Servern in diversen asiatischen L\u00e4ndern entdeckt: Malaysia, Mongolei, Indonesien und Philippinen. Allerdings haben unsere Experten Grund zur Annahme, dass die Internetverbrecher auch vorhaben, Organisationen in Europa anzugreifen.<\/p>\n Die meisten Angriffe zielten auf Regierungsorganisationen ab, darunter auch mindestens ein Transportunternehmen (ebenfalls in staatlicher Hand).<\/p>\nAuf welche Opfer zielen die OWOWA-Angriffe ab?<\/h2>\n
So sch\u00fctzen Sie sich vor OWOWA<\/h2>\n