image

Criminelen stelen 11.000 wachtwoorden via Outlook-mailserver

dinsdag 6 oktober 2015, 11:09 door Redactie, 6 reacties

Criminelen hebben door het infecteren van een Outlook-mailserver van een Amerikaans bedrijf meer dan 11.000 wachtwoorden met bijbehorende gebruikersnamen weten te stelen. Dat meldt beveiligingsbedrijf Cybereason in een rapport (pdf). Om welk bedrijf het precies gaat is niet bekendgemaakt.

Bij de aanval hadden de aanvallers een malafide module aan de Microsoft Outlook Web Application (OWA) toegevoegd, de webmailserver waar het bedrijf gebruik van maakte. Via de module konden de aanvallers alle inloggegevens opslaan. Daarnaast diende de module ook als backdoor. Het aangevallen bedrijf gebruikte OWA om gebruikers op afstand toegang tot Outlook te geven.

Volgens het beveiligingsbedrijf zorgde deze configuratie van OWA voor een ideaal aanvalsplatform, omdat de server zowel intern als extern was blootgesteld. Aangezien OWA-authenticatie op domeinwachtwoorden is gebaseerd, kan een aanvaller met toegang tot de OWA-server zo de domeinwachtwoorden van de hele organisatie in handen krijgen. De module bleek meer dan 11.000 wachtwoorden te hebben opgeslagen. Hoe de OWA-server in eerste instantie geïnfecteerd kon raken laat Cybereason niet weten.

Reacties (6)
06-10-2015, 11:24 door Anoniem
Voelt een beetje als een "clickbait" kop. Wordt hier niet gewoon Exchange bedoelt in plaats van Outlook?
06-10-2015, 11:56 door Anoniem
Is dat niet gewoon een Exchange server?
06-10-2015, 12:32 door Anoniem
De Outlook-Mailserver, neem aan dat ze Microsoft Exchange server bedoelen.
Later staat er OWA-server, ook dit is dezelfde Microsoft Exchange server.

Volgens mij moet je exchange beheer rechten hebben om modules toe te voegen aan OWA.
Laatste zin staat dat ze niet vermelden hoe de server in eerste instantie geinfecteerd kon raken...
Dat laatste is denk gewoon omdat ze met een account met exchange rechten hebben kunnen inloggen...
06-10-2015, 20:29 door Anoniem
of ze bedoelen van Outlook.com ..
07-10-2015, 13:33 door dmstork - Bijgewerkt: 07-10-2015, 13:33
Ze bedoelen idd Exchange (een OWA server bestaat niet... verkeerd gebruik van jargon geeft mij niet echt vertrouwen in hun eventuele expertise), maar noemen niet welke versie, patch level, het onderliggende OS etc.. Het is iig niet Outlook.com aangezien dat een andere backend heeft.
Ook geven ze geen hash van de comprimised DLL (zodat andere het kunnen controleren) of een suggestie hoe deze op de Exchange server is gekomen (via een exploit? Of doordat admin credentials al eerder gejat waren?). Ook niet wat voor security maatregelen er aanwezig waren en waren omzeild (reverse proxy, AV etc..). Tevens is dit maar één enkele keer geconstateerd.
Het gebrek aan te controleren informatie doet mij inderdaad denken dat dit meer een reclame stunt is voor het security bedrijf dan daadwerkelijk een nuttig bericht.
08-10-2015, 09:46 door Anoniem
FUD. Na oneigenlijke toegang tot een systeem is alles mogelijk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.