Gefährliche Backdoor in Outlook Web Access

Der israelische Sicherheits-Anbieter Cybereason, der auf eine Echtzeiterkennung von Internetattacken spezialisiert ist, hat eine Backdoor in Outlook Web Access entdeckt (OWA). Betroffen war ein Kunde von Cybereason, der seinen Mitarbeitern einen Zugriff auf Outlook per OWA ermöglicht.

Den Angreifern war es gelungen, eine manipulierte DLL-Datei einzuschmuggeln, die ihnen Zugriff auf die Login-Daten ermöglichte. Dadurch konnten die Kriminellen nicht nur auf alle in Outlook gespeicherten Daten zugreifen, sondern auch auf die gesamte Windows-Domäne, da dort dieselben Zugangsdaten verwendet wurden. In vielen kleineren bis mittleren Unternehmen ist dies üblich.

Die böswillige DLL-Datei mit dem Namen „OAWAUTH.dll“ verschaffte den Angreifern Zugang zum Active-Directory-Server des Unternehmens und installierte einen ISAPI-Filter im IIS-Server. Dadurch konnten sie alle übertragenen Inhalte mitlesen.

Den Hackern sei es gelungen, sämtliche Login-Daten des Unternehmens mitzuschneiden und damit letztlich die Kontrolle über die gesamte IT-Umgebung der Organisation zu übernehmen, schreibt Cybereason in einem Report (PDF). Mehr als 11.000 Nutzernamen und dazugehörige Passwörter seien in die Fänge der Angreifer gelangt. Wie die manipulierte DLL-Datei allerdings auf den kompromittierten Server gelangte, ist unklar.