Los investigadores de seguridad Yonatan Striem-Amit y Yoav Orot dicen que los atacantes han creado una peligrosa puerta trasera capaz de esparcirse a las organizaciones utilizando Microsoft Outlook Web Access (OWA).
Los investigadores de Cybereason en Boston detectaron el ataque en un archivo .dll malicioso que desvió solicitudes descifradas de servidores HTTPS.
El director de tecnología, Amit, y el investigador senior, Orot, mencionaron que los atacantes mantuvieron acceso a la red y al dominio de las credenciales de clientes no identificados durante meses.
“El primer acierto del atacante fue utilizar la visibilidad que había adquirido en el proceso de autenticación OWA para robar las contraseñas de los usuarios que inician sesión en OWA, es decir, todos”, dice la pareja de investigadores sobre dicha organización (PDF).
“Mediante el uso de este enfoque los atacantes lograron recolectar y conservar la propiedad sobre un gran conjunto de credenciales lo que les permite mantener el control persistente en el entorno de esa organización”.
“El cliente afectado estaba utilizando OWA para permitir el acceso de usuarios remotos a Outlook, ha creado una plataforma ideal para el ataque ya que el servidor se expuso tanto interna como externamente”.
Se encontraron más de 11 mil pares de usuario y contraseña a los cuales los atacantes tuvieron acceso, que asciende a toda identidad y activo dentro de la organización.
Los investigadores señalan que los administradores del servidor OWA son propietarios de las credenciales de dominio de una organización, por lo que es un vector de ataque sustancioso.
Señalan que, además del ataque malicioso con el archivo Owaauth.dll, también instala un filtro ISAPI que entrega a los atacantes las peticiones de texto claro de cifrado de correos.
No está claro pero es probable que el archivo .dll de puerta trasera sea lanzado en otras organizaciones con el objetivo de explotar y obtener acceso corporativo a través de OWA a un sistema, que según Amit y Orot dicen, requiere seguridad débil “casi por definición”.
El equipo de seguridad de los afectados detectaron “anomalías de comportamiento” a través de su red antes de solicitar el apoyo de Cyberseason, el objetivo era desplegar su kit a través de unos 19 mil puntos finales.
Al parecer, los atacantes también utilizaron un caché de ensamblados .NET para ocultar archivos binarios que sólo se ejecutaban en las máquinas en las que se genera, una hazaña inteligente que intentó engañar a la inspección de la seguridad cotidiana.
Fuente: http://www.seguridad.unam.mx/
No hay comentarios.:
Publicar un comentario