Cuộc tấn mới vào Microsoft Outlook Web App đánh cắp mật khẩu người dùng

Các nhà nghiên cứu vừa mới phát hiện ra một backdoor nguy hiểm trong ứng dụng web Outlook của Microsoft có thể cho phép tin tặc đánh cắp mật khẩu email từ các tổ chức lớn.

Microsoft Outlook Web Application (OWA) là giao diện máy chủ webmail  được triển khai tại các công ty và tổ chức nhằm mục đích trao đổi email nội bộ. Các nhà nghiên cứu tại công ty bảo mật Cybereason đã phát hiện ra một fild DLL đáng ngờ tải vào máy chủ OWA thông qua request HTTPS. Mặc dù file này có cùng tên với file DLL khác trên hệ thống nhưng nó không có chứng chỉ và tải vào một chỉ mục khác file gốc.

Theo Cybereason, tin tặc đã thay thế OWAAUTH.dll (sử dụng trong cơ chế xác thực) với một backdoor nguy hiểm. Sau khi chạy trên máy chủ OWA, file DLL backdoor sẽ cho phép tin tặc thu thập tất cả các request HTTPS máy chủ, bao gồm thông tin đăng nhập sau khi chúng được giải mã.

Mọi người dùng truy cập vào máy chủ bị xâm nhập đề đã bị đánh cắp tên tài khoản và mật khẩu email. Hơn 11,000 dữ liệu đang nhập chứa trong file log.txt trên phân vùng C: của máy chủ. Log.txt  được tin là nơi tin tặc sử dụng lưu trữ dữ liệu đánh cắp được. Để ngăn chặn backdoor không bị loại bỏ, tin tặc tạo ra một  IIS  (Web server của Microsoft), thông qua nó tải OWAAUTH.dll file độc hại mỗi khi máy chủ khởi động lại. Tin tặc có chủ đích (APT) còn sử dụng .NET assembly cache nhằm tránh bị kiểm duyệt bảo mật.

THN