Een schadelijke Internet Information Services (IIS)-module verandert Outlook op het web in een tool voor het stelen van inloggegevens en een paneel voor toegang op afstand. Onbekende actoren hebben de module, die onze onderzoekers OWOWA noemen, bij gerichte aanvallen gebruikt.
Waarom Outlook op het web aanvallers aantrekt
Outlook op het web (vroeger bekend als Exchange Web Connect, Outlook Web Access en Outlook Web App, of kortweg OWA) is een webgebaseerde interface voor toegang tot Microsofts Personal Information Manager Service. De app wordt ingezet op webservers met IIS.
Veel bedrijven gebruiken het om werknemers op afstand toegang te geven tot hun mailboxen en agenda’s, zonder dat ze daarvoor een speciale client hoeven te installeren. Er zijn verschillende methoden om Outlook op het web te implementeren, waaronder het gebruik van Exchange Server op de site, wat cybercriminelen aantrekt. In theorie geeft het verkrijgen van controle over deze app hen toegang tot alle bedrijfscorrespondentie, samen met eindeloze mogelijkheden om hun aanval op de infrastructuur uit te breiden en extra BEC-campagnes te lanceren.
Hoe OWOWA werkt
OWOWA laadt op gecompromitteerde IIS-webservers als een module voor alle compatibele apps, maar zijn doel is het onderscheppen van in OWA ingevoerde inloggegevens. De malware controleert verzoeken en antwoorden op de inlogpagina van Outlook op het web, en als het ziet dat een gebruiker gegevens heeft ingevoerd en een authenticatietoken als antwoord heeft ontvangen, schrijft het de gebruikersnaam en het wachtwoord naar een bestand (in versleutelde vorm).
Bovendien stelt OWOWA aanvallers in staat de functionaliteit ervan rechtstreeks te controleren via hetzelfde authenticatieformulier. Door bepaalde commando’s in te voeren in de velden voor de gebruikersnaam en het wachtwoord, kan een aanvaller de geoogste informatie ophalen, het logbestand wissen of willekeurige commando’s uitvoeren op de gecompromitteerde server via PowerShell.
Voor een gedetailleerdere technische beschrijving van de module met de indicators of compromise, kunt u terecht bij de post van Securelist.
Wie zijn de slachtoffers van OWOWA-aanvallen?
Onze deskundigen hebben aanvallen op basis van OWOWA op servers in verschillende Aziatische landen ontdekt: Maleisië, Mongolië, Indonesië en de Filippijnen. Onze experts hebben echter reden om aan te nemen dat de cybercriminelen ook geïnteresseerd zijn in organisaties in Europa.
De meeste doelwitten waren overheidsinstanties, en ten minste één was een vervoersbedrijf (ook in handen van de staat).
Hoe u zich tegen OWOWA beschermt
U kunt het commando appcmd.exe gebruiken – of het gewone IIS-configuratieprogramma – om de schadelijke OWOWA-module (of een andere IIS-module van een derde partij) op de IIS-webserver te detecteren. Houd er echter ook rekening mee dat elke met het internet verbonden server bescherming nodig heeft.