Investigadores de Cybereason, sin embargo, han descubierto un ataque dirigido en el que los hackers fueron capaces de enterrarse en la red corporativa y robar miles de combinaciones de nombre de usuario-contraseña a través de Outlook Web Access.
"Los profesionales de seguridad son muy conscientes del valor de sus controladores de dominio, y los consideran como las llaves del castillo, sin darse cuenta de que el servidor OWA da acceso esencialmente idéntico", dijo el CTO y cofundador de Cybereason Yonatan Striem-Amit.
El ataque se llevó a cabo durante meses contra una organización con 19.000 equipos, y las credenciales de más de 11.000 cuentas de usuario fueron monitoreadas y robadas.
OWA permite el acceso remoto a Outlook y Exchange Server en las organizaciones que deseen extenderlo. Y debido a que se expone a la Internet y la infraestructura interna, es un objetivo tentador para los atacantes avanzados que desean robar o espiar las actividades de una organización.
"Esta configuración de OWA crea una plataforma ideal de ataque porque el servidor se expone tanto interna como externamente", dijo Striem-Amit. "Por otra parte, debido a que la autenticación de OWA se basa en las credenciales de dominio, quien logra acceso al servidor OWA se convierte en el dueño de las credenciales de dominio de toda la organización."
En este caso, los atacantes utilizaron credenciales robadas para cargar una biblioteca dinámica maliciosa y sin firmar en el servidor OWA. El módulo se utilizó para abrir una puerta trasera a un servidor de comando y control y grabar las credenciales de la mayoría de las cuentas de la organización.
"A pesar de que tenía el mismo nombre que otro DLL benigno, el DLL sospechoso se fue sin firmar y se cargo desde un directorio diferente," escribió Cybereason en un informe.
Striem-Amit agregó que una investigación forense concluyó que no se utilizó malware avanzado para lograr la entrada inicial en el ataque.
"Como no había día cero, la única" vulnerabilidad "es la voluntad de OWA de cargar felizmente DLL sin firmar, que es el comportamiento por defecto en la mayoría de los servidores y máquinas basadas en Windows," dijo.
Esta técnica es un nuevo giro de las pandillas de APT, la mayoría de los cuales dependen de phishing como un punto de apoyo inicial en una red. Una vez que se obtiene acceso legítimo a través de credenciales robadas, los atacantes intentan girar internamente hasta aterrizar en un recurso que codician - que en este caso era de las credenciales de OWA de la organización.
La libreria OWAAUTH.dll maliciosa, fue utilizado por OWA para la autenticación contra el servidor de Active Directory de la organización. Los atacantes también instalaron un filtro ISAPI para IIS, que se utiliza para filtrar las peticiones HTTP al servidor.
"Esto permitió a los hackers obtener todas las solicitudes en texto claro después de SSL/TLS descifrado", dijo Striem-Amit. "El malware sustituye la OWAAUTH [librería] mediante la instalación de un filtro de IIS en el registro, lo que permitió que el malware cargara automáticamente y persistiera en cada reinicio del servidor posterior."
La DLL luego cargó otro módulo HTTP que agarró la lógica del malware y puerta trasera, dijo Cybereason.
"La parte interesante de este ataque es el valor que los hackers consiguieron de esta puerta trasera particular. No sólo fueron capaces de acceder al servidor comprometido específico, sino que también consiguieron el acceso a todo el nombre de usuario/contraseñas de todos los usuarios en la organización ", dijo Striem-Amit. "De esta manera, se consigue una forma muy robusta para entrar, y aprovechar cualquier otro activo comprometido como el acceso completo a todos los demás recursos."
Los atacantes fueron capaces de sentarse en la red y monitorear variables pasadas en las consultas de solicitud que parecían combinaciones nombre de usuario-contraseña cada vez que los usuarios iniciaban sesión en OWA. Los investigadores dijeron que encontraron 11.000 pares, esencialmente para cada identidad y activo en la organización. La puerta trasera también contenía un parámetro especial con el nombre de la organización en ella, dando una prueba más de que estaban dirigidos específicamente. La puerta trasera permitió a los atacantes accedieran al servidor OWA donde podían ejecutar cualquier código y utilizando las credenciales robadas, hacerse pasar por cualquier usuario, todo ello sin atacar el controlador de dominio, que es un objetivo en algunos otros ataques de alto perfil.
"Aunque la mayoría de los profesionales de seguridad entiendan la sensibilidad de los datos en el servidor Active Directory, el servidor OWA sirve como un punto focal para los mismos datos sensibles exactos", dijo Striem-Amit.
"Los profesionales de seguridad son muy conscientes del valor de sus controladores de dominio, y los consideran como las llaves del castillo, sin darse cuenta de que el servidor OWA da acceso esencialmente idéntico", dijo el CTO y cofundador de Cybereason Yonatan Striem-Amit.
El ataque se llevó a cabo durante meses contra una organización con 19.000 equipos, y las credenciales de más de 11.000 cuentas de usuario fueron monitoreadas y robadas.
OWA permite el acceso remoto a Outlook y Exchange Server en las organizaciones que deseen extenderlo. Y debido a que se expone a la Internet y la infraestructura interna, es un objetivo tentador para los atacantes avanzados que desean robar o espiar las actividades de una organización.
"Esta configuración de OWA crea una plataforma ideal de ataque porque el servidor se expone tanto interna como externamente", dijo Striem-Amit. "Por otra parte, debido a que la autenticación de OWA se basa en las credenciales de dominio, quien logra acceso al servidor OWA se convierte en el dueño de las credenciales de dominio de toda la organización."
En este caso, los atacantes utilizaron credenciales robadas para cargar una biblioteca dinámica maliciosa y sin firmar en el servidor OWA. El módulo se utilizó para abrir una puerta trasera a un servidor de comando y control y grabar las credenciales de la mayoría de las cuentas de la organización.
"A pesar de que tenía el mismo nombre que otro DLL benigno, el DLL sospechoso se fue sin firmar y se cargo desde un directorio diferente," escribió Cybereason en un informe.
Striem-Amit agregó que una investigación forense concluyó que no se utilizó malware avanzado para lograr la entrada inicial en el ataque.
"Como no había día cero, la única" vulnerabilidad "es la voluntad de OWA de cargar felizmente DLL sin firmar, que es el comportamiento por defecto en la mayoría de los servidores y máquinas basadas en Windows," dijo.
Esta técnica es un nuevo giro de las pandillas de APT, la mayoría de los cuales dependen de phishing como un punto de apoyo inicial en una red. Una vez que se obtiene acceso legítimo a través de credenciales robadas, los atacantes intentan girar internamente hasta aterrizar en un recurso que codician - que en este caso era de las credenciales de OWA de la organización.
La libreria OWAAUTH.dll maliciosa, fue utilizado por OWA para la autenticación contra el servidor de Active Directory de la organización. Los atacantes también instalaron un filtro ISAPI para IIS, que se utiliza para filtrar las peticiones HTTP al servidor.
"Esto permitió a los hackers obtener todas las solicitudes en texto claro después de SSL/TLS descifrado", dijo Striem-Amit. "El malware sustituye la OWAAUTH [librería] mediante la instalación de un filtro de IIS en el registro, lo que permitió que el malware cargara automáticamente y persistiera en cada reinicio del servidor posterior."
La DLL luego cargó otro módulo HTTP que agarró la lógica del malware y puerta trasera, dijo Cybereason.
"La parte interesante de este ataque es el valor que los hackers consiguieron de esta puerta trasera particular. No sólo fueron capaces de acceder al servidor comprometido específico, sino que también consiguieron el acceso a todo el nombre de usuario/contraseñas de todos los usuarios en la organización ", dijo Striem-Amit. "De esta manera, se consigue una forma muy robusta para entrar, y aprovechar cualquier otro activo comprometido como el acceso completo a todos los demás recursos."
Los atacantes fueron capaces de sentarse en la red y monitorear variables pasadas en las consultas de solicitud que parecían combinaciones nombre de usuario-contraseña cada vez que los usuarios iniciaban sesión en OWA. Los investigadores dijeron que encontraron 11.000 pares, esencialmente para cada identidad y activo en la organización. La puerta trasera también contenía un parámetro especial con el nombre de la organización en ella, dando una prueba más de que estaban dirigidos específicamente. La puerta trasera permitió a los atacantes accedieran al servidor OWA donde podían ejecutar cualquier código y utilizando las credenciales robadas, hacerse pasar por cualquier usuario, todo ello sin atacar el controlador de dominio, que es un objetivo en algunos otros ataques de alto perfil.
"Aunque la mayoría de los profesionales de seguridad entiendan la sensibilidad de los datos en el servidor Active Directory, el servidor OWA sirve como un punto focal para los mismos datos sensibles exactos", dijo Striem-Amit.
