Abo
  • Services:
Anzeige
Microsofts Outlook Web Access wurde von Hackern angegriffen.
Microsofts Outlook Web Access wurde von Hackern angegriffen. (Bild: Screenshot Golem.de)

Outlook Web Access: Angriff auf Microsofts Webmailer dokumentiert

Microsofts Outlook Web Access wurde von Hackern angegriffen.
Microsofts Outlook Web Access wurde von Hackern angegriffen. (Bild: Screenshot Golem.de)

Outlook-Web-Access wird von vielen Firmenkunden eingesetzt, um Mitarbeitern von unterwegs einen einfachen Zugriff auf Mails zu ermöglichen. In einem konkreten Fall ist es Angreifern jetzt gelungen, über eine mit Malware infizierte DLL mehr als 11.000 Zugangsdaten zu kopieren.

Anzeige

Der Outlook-Web-Access-Dienst ist unter bestimmten Voraussetzungen angreifbar - in einem aktuellen Fall wurden angeblich mehr als 11.000 Nutzerdaten kompromittiert. Das haben Mitarbeiter der Sicherheitsfirma Cybereasonbekanntgegeben. Die Experten wurden nach eigenen Angaben von einem Kunden mit einer Analyse beauftragt, der auf seinem Server abnormales Verhalten festgestellt hatte.

Outlook Web Access stellt ein Webmail-Interface bereit, damit Nutzer ihre E-Mails auch ohne IMAP/POP3-Client abrufen können. Damit stellt der Server ein Bindeglied zwischen öffentlicher und privater Infrastruktur her.

Um den Angriff durchzuführen, schleusten die Angreifer eine mit Malware infizierte Owaauth.dll ein, die für den späteren Angriff als Backdoor dient. Auf Nachfrage von Golem.de teilten die Sicherheitsforscher mit, dass die Quelle der Infektion vermutlich gestohlene Zugangsdaten seien.

Diese Datei wird von OWA im Authentifizierungsmechanismus im Active-Directory-Dienst genutzt. Die DLL installiert außerdem einen Internet-Server-Application-Programming-Interface-Filter (ISAPI) auf Microsofts IIS-Webserver. Das ermöglicht den Angreifern den Klartext-Zugriff auf alle Anfragen nach der SSL/TLS-Entschlüsselung. Die Malware ersetzt die ursprüngliche Owaauth.dll, indem sie einen IIS-Filter in der Registry hinzufügt, damit die Malware bei jedem Neustart des Servers automatisch geladen wird.

Rund 11.000 Passwörter abgegriffen

Die Angreifer nutzten nach Angaben von Cyberseason außerdem den .Net-Assembly-Cache des angegriffenen Servers, um lokal generierte Binaries zu speichern und unentdeckt zu bleiben. Die Sicherheitsforscher entdeckten mehr als 11.000 von den Angreifern erbeutete Nutzernamen und Passwörter in der Datei log.txt im Stammverzeichnis des Servers.

Cybereason macht keine Angaben dazu, ob der Angriff auch bei anderen Firmen entdeckt wurde. Wir haben bei Microsoft eine Stellungnahme angefragt.


eye home zur Startseite
ThomasABrown 07. Okt 2015

Mir hat Microsoft bereits geantwortet :-) http://blogs.technet.com/b/exchange/archive...

bjs 07. Okt 2015

ich möchte keinen admin in meiner firma haben, der sicherheitsmaßnahmen nur dann setzt...

Friedrich.Thal 07. Okt 2015

Vielleicht ist der Server schon länger undicht und keiner hat es gemerkt. Die Leutchen...



Anzeige

Stellenmarkt
  1. MVV EnergySolutions GmbH, Mannheim
  2. item Industrietechnik GmbH, Solingen
  3. Haufe Gruppe, Freiburg im Breisgau
  4. Fresenius Medical Care Deutschland GmbH, Bad Homburg


Anzeige
Top-Angebote
  1. 29,99€ + 4,99€ Versand oder Abholung im Markt
  2. 29,99€ + 4,99€ Versand oder Abholung im Markt
  3. 157,76€ (Bestpreis!)

Folgen Sie uns
       


  1. Sysadmin Day 2017

    Zum Admin-Sein fehlen mir die Superkräfte!

  2. Ipod Touch günstiger

    iPod Nano und iPod Shuffle eingestellt

  3. Nissan Leaf

    Geringer Reichweitenverlust durch alternden Akku

  4. Quartalsbericht

    Amazons Gewinn bricht ein

  5. Sicherheitslücke

    Caches von CDN-Netzwerken führen zu Datenleck

  6. Open Source

    Microsoft tritt Cloud Native Computing Foundation bei

  7. Q6

    LGs reduziertes G6 kostet 350 Euro

  8. Google

    Youtube Red und Play Music fusionieren zu neuem Dienst

  9. Facebook Marketplace

    Facebooks Verkaufsplattform kommt nach Deutschland

  10. Ryzen 3 1300X und 1200 im Test

    Harte Gegner für Intels Core i3



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Indiegames Rundschau: Meisterdiebe, Anti- und Arcadehelden
Indiegames Rundschau
Meisterdiebe, Anti- und Arcadehelden
  1. Jump So was wie Netflix für Indiegames
  2. Indiegames-Rundschau Weltraumabenteuer und Strandurlaub
  3. Indiegames-Rundschau Familienflüche, Albträume und Nostalgie

Poets One im Test: Kleiner Preamp, großer Sound
Poets One im Test
Kleiner Preamp, großer Sound
  1. Dunkirk Interstellar-Regisseur setzt weiter auf 70mm statt 4K
  2. Umfrage Viele wollen weg von DVB-T2
  3. DVB-T2 Freenet TV will wohl auch über Astra ausstrahlen

Shipito: Mit wenigen Mausklicks zur US-Postadresse
Shipito
Mit wenigen Mausklicks zur US-Postadresse
  1. Kartellamt Mundt kritisiert individuelle Preise im Onlinehandel
  2. Automatisierte Lagerhäuser Ein riesiger Nerd-Traum
  3. Onlineshopping Ebay bringt bedingte Tiefpreisgarantie nach Deutschland

  1. Re: 11-20% sind gering?

    unterhosendieb | 08:59

  2. LG G6 Original als Reimport mit Quaddac und 64gb...

    TorstenReise | 08:58

  3. Re: Welche GPU?

    Sharra | 08:58

  4. Preis/Leistungsverhältnis ähnlich zum G4560...

    M3SHUGGAH | 08:57

  5. Re: Neuer Partitionierer

    matzems | 08:57


  1. 09:04

  2. 07:23

  3. 07:13

  4. 22:47

  5. 18:56

  6. 17:35

  7. 16:44

  8. 16:27


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel