一個惡意的Internet Information Services (IIS)模組,能夠把網頁版的Outlook變成為盜取登入憑證和遙距存取面板的工具,不知名的網絡犯罪份子已經用在針對性攻擊之上,Kaspersky的研究人員稱該模組為OWOWA。
網頁版Outlook吸引攻擊者
網頁版的Outlook (前身為Exchange Web Connect、Outlook Web Accesshdr Outlook Web App,或簡稱OWA),是用作存取Microsoft的Personal Information Manager服務的網頁版界面,該應用程式部署在網絡伺服器上運行IIS。很多公司使用它為員工提供遙距存取公司電子郵箱、行事曆等服務,而無需要裝特定的客端。
在網站上部置Outlook有幾種方法,理論上取得這應用程式的控制權就能存取所有公司的電郵,伴隨著「拓展」成基礎設施的攻擊或BEC攻擊的可能性。
攔截輸入OWA的憑證資料
OWOWA會作為兼容所有應用程式的模組,在被入侵的IIS網絡伺服器上運行,但它的目的是截取輸入到OWA的登入憑證。惡意程式查看Outlook網站登入網頁的請求和回應,如果發現用戶輸入了憑證和從回應中收到身份驗證的批准,便會以加密的形式記下用戶名稱和密碼。
此外,OWOWA容許攻擊者通過相同的身份驗證方式直接控制它的功能,只需要在用戶名稱和密碼的位置輸入特定指令,攻擊者就能收集資料、刪除記錄檔案或通過PowerShell在被入侵的伺服器執行任意代碼。更多有關OWOWA的技術資料,請參考Securelist的文章。極為普及,資訊安全的研究人員預期不久將來使用這個漏洞攻擊伺服器的數字會有顯著增加。
攻擊集中亞洲區域
卡巴斯基的專家偵測到以OWOWA作為基礎的攻擊主要集中在亞洲地區的伺服器,例如:馬來西亞、蒙古、印尼和菲律賓,然而專家們也有原因相信網絡犯罪份子對歐洲的組織也有興趣,最主要的攻擊目標是政府機構,而其中一家是國家擁有的運輸公司。
防範OWOWA
管理員可以透過appcmd.exe的指令,或正常的IIS設定工具去偵測在IIS網站伺服器上的惡意OWOWA模組(或任何其他第三方IIS模組),然而所有面向互聯網的伺服器和電腦,都應該具備可靠的保護。
資料來源:Kaspersky Blog
