10 лет успеха:2006-2016
8 (800) 500-92-06
Бесплатный звонок из регионов

Почтовый сервер Microsoft Exchange был взломан через Outlook Web App (OWA)

Главная / Архив новостей / Почтовый сервер Microsoft Exchange был взломан через Outlook Web App (OWA)
Почтовый сервер Microsoft Exchange был взломан через Outlook Web App (OWA)

Злоумышленники взломали почтовый сервер от Microsoft и продолжительное время держали его под контролем, а вместе с ним и всю корпоративную сеть предприятия в США. Об инциденте сообщили ИБ-специалисты компании Cybereason. Несанкционированный доступ был осуществлён посредством веб-интерфейса почтового сервера Outlook Web App (OWA). Наименование пострадавшей организации в Cybereason не разглашается, однако известно, что она выполняет общественные функции в Соединённых Штатах.

Как выяснили эксперты, заражённый DLL-файл был помещён в директорию почтового веб-интерфейса OWA, которым пользовались удалённые пользователи для доступа к своему почтовому ящику. DLL-файл, используемый в механизме аутентификации при каждом подключении пользователя, имел то же имя что и оригинальный и был установлен хакерами в автозагрузку, чтобы автоматически подключаться при каждом рестарте почтового сервера. Вредоносное ПО осуществляло перехват сессий аутентификации пользователей к веб-интерфейсу почты. А так как почтовый сервер Exchange для авторизации пользователей использует доменную структуру Active Directory, то перехват паролей к корпоративной почте дал взломщикам беспрепятственный доступ ко всей корпоративной сети.

Благодаря этому недостатку почтового сервера от Microsoft более 11 тысяч учётных записей сотрудников организации было скомпрометировано. Изменённый DLL-файл собирал и сохранял в зашифрованном файле перехваченные данные для последующей отправки их злоумышленникам.



При перепубликации статьи установка активной индексируемой гиперссылки на источник - сайт TENDENCE.RU обязательна!

1038 просмотров