O nález tohoto doplňku se postarala společnost Kaspersky. Nazvala ho Owowa a je velmi nebezpečný, protože umí nejenom ukrást údaje v průběhu přihlašování do aplikace Outlook Web Access, útočníkům umožňuje také získat přístup ke vzdálenému ovládání základního serveru. Navíc je velmi odolný, takže se může v zařízení ukrývat po dlouhou dobu.
Útočníci využívali v roce 2021 zranitelnosti Microsoft Exchange Serveru stále častěji a na povrch se dostaly hned čtyři jeho kritické chyby. Například v březnu se povedlo hackerům získat přístup ke všem registrovaným e-mailovým účtům a spustit libovolný kód.
Nyní narazili specialisté společnosti Kaspersky na další škodlivý modul, který útočníkům umožňuje získat přihlašovací údaje pro Outlook Web Access a získat kontrolu nad vzdáleným přístupem k základnímu serveru. Tento nebezpečený modul získal jméno Owowa.
Owowa se vyznačuje tím, že jeho funkce lze spustit odesláním zdánlivě neškodného požadavku – v tomto případě požadavku na ověření OWA (Outlook Web Access). Modul byl sestaven mezi koncem roku 2020 a dubnem 2021 a prozatím se zaměřuje výhradně na Asii.
Hackeři jím míří na cíle v Malajsii, Mongolsku, Indonésii a na Filipínách, většina obětí byla napojena na vládní organizace a další na státní dopravní podnik. Je ale velmi pravděpodobné, že další oběti jsou také v Evropě.
Čtěte také: IKEA, Tesco nebo Amazon lákají na výhru. Dejte pozor, jde o podvod a okradou vás!
Společnosti Kaspersky se prozatím nepovedlo přiřadit tento modul k žádnému známému aktérovi podobných hrozeb. Je spojen s uživatelským jménem S3crt, které využívá vývojář stojící za několika dalšími škodlivými binárními zavaděči. Slovo S3crt je ale jednoduchou odvozeninou z anglického slova secret a mohlo by ho klidně používat víc osob.
Nebezpečnost modulu Owowa spočívá v tom, že ho útočník může použít k pasivní krádeži přihlašovacích údajů uživatelů, kteří normálně přistupují k webovým službám. To je mnohem skrytější a hůře odhalitelný způsob než klasické rozesílání phishingových mailů. K odhalení sice lze využít nástroje pro konfiguraci IIS, ty se však obvykle pro monitorování souborů a sítí nevyužívají, takže můžou Owowa snadno přehlédnout.
A nepomůže ani aktualizace – Owowa zůstává v systému i poté, co se server Microsoft Exchange aktualizuje. Je tedy důležité, aby firmy všechny jeho modulu sledovaly a všechny spuštěné moduly by se měly raději považovat za potenciálně nebezpečné a pravidelně procházet kontrolou.
O nález tohoto doplňku se postarala společnost Kaspersky. Nazvala ho Owowa a je velmi nebezpečný, protože umí nejenom ukrást údaje v průběhu přihlašování do aplikace Outlook Web Access, útočníkům umožňuje také získat přístup ke vzdálenému ovládání základního serveru. Navíc je velmi odolný, takže se může v zařízení ukrývat po dlouhou dobu.
Útočníci využívali v roce 2021 zranitelnosti Microsoft Exchange Serveru stále častěji a na povrch se dostaly hned čtyři jeho kritické chyby. Například v březnu se povedlo hackerům získat přístup ke všem registrovaným e-mailovým účtům a spustit libovolný kód.
Nyní narazili specialisté společnosti Kaspersky na další škodlivý modul, který útočníkům umožňuje získat přihlašovací údaje pro Outlook Web Access a získat kontrolu nad vzdáleným přístupem k základnímu serveru. Tento nebezpečený modul získal jméno Owowa.
Owowa se vyznačuje tím, že jeho funkce lze spustit odesláním zdánlivě neškodného požadavku – v tomto případě požadavku na ověření OWA (Outlook Web Access). Modul byl sestaven mezi koncem roku 2020 a dubnem 2021 a prozatím se zaměřuje výhradně na Asii.
Hackeři jím míří na cíle v Malajsii, Mongolsku, Indonésii a na Filipínách, většina obětí byla napojena na vládní organizace a další na státní dopravní podnik. Je ale velmi pravděpodobné, že další oběti jsou také v Evropě.
Čtěte také: IKEA, Tesco nebo Amazon lákají na výhru. Dejte pozor, jde o podvod a okradou vás!
Společnosti Kaspersky se prozatím nepovedlo přiřadit tento modul k žádnému známému aktérovi podobných hrozeb. Je spojen s uživatelským jménem S3crt, které využívá vývojář stojící za několika dalšími škodlivými binárními zavaděči. Slovo S3crt je ale jednoduchou odvozeninou z anglického slova secret a mohlo by ho klidně používat víc osob.
Nebezpečnost modulu Owowa spočívá v tom, že ho útočník může použít k pasivní krádeži přihlašovacích údajů uživatelů, kteří normálně přistupují k webovým službám. To je mnohem skrytější a hůře odhalitelný způsob než klasické rozesílání phishingových mailů. K odhalení sice lze využít nástroje pro konfiguraci IIS, ty se však obvykle pro monitorování souborů a sítí nevyužívají, takže můžou Owowa snadno přehlédnout.
A nepomůže ani aktualizace – Owowa zůstává v systému i poté, co se server Microsoft Exchange aktualizuje. Je tedy důležité, aby firmy všechny jeho modulu sledovaly a všechny spuštěné moduly by se měly raději považovat za potenciálně nebezpečné a pravidelně procházet kontrolou.