• IT-Karriere:
  • Services:

Outlook Web Access: Angriff auf Microsofts Webmailer dokumentiert

Outlook-Web-Access wird von vielen Firmenkunden eingesetzt, um Mitarbeitern von unterwegs einen einfachen Zugriff auf Mails zu ermöglichen. In einem konkreten Fall ist es Angreifern jetzt gelungen, über eine mit Malware infizierte DLL mehr als 11.000 Zugangsdaten zu kopieren.

Artikel veröffentlicht am ,
Microsofts Outlook Web Access wurde von Hackern angegriffen.
Microsofts Outlook Web Access wurde von Hackern angegriffen. (Bild: Screenshot Golem.de)

Der Outlook-Web-Access-Dienst ist unter bestimmten Voraussetzungen angreifbar - in einem aktuellen Fall wurden angeblich mehr als 11.000 Nutzerdaten kompromittiert. Das haben Mitarbeiter der Sicherheitsfirma Cybereasonbekanntgegeben. Die Experten wurden nach eigenen Angaben von einem Kunden mit einer Analyse beauftragt, der auf seinem Server abnormales Verhalten festgestellt hatte.

Stellenmarkt
  1. Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  2. ista International GmbH, Essen

Outlook Web Access stellt ein Webmail-Interface bereit, damit Nutzer ihre E-Mails auch ohne IMAP/POP3-Client abrufen können. Damit stellt der Server ein Bindeglied zwischen öffentlicher und privater Infrastruktur her.

Um den Angriff durchzuführen, schleusten die Angreifer eine mit Malware infizierte Owaauth.dll ein, die für den späteren Angriff als Backdoor dient. Auf Nachfrage von Golem.de teilten die Sicherheitsforscher mit, dass die Quelle der Infektion vermutlich gestohlene Zugangsdaten seien.

Diese Datei wird von OWA im Authentifizierungsmechanismus im Active-Directory-Dienst genutzt. Die DLL installiert außerdem einen Internet-Server-Application-Programming-Interface-Filter (ISAPI) auf Microsofts IIS-Webserver. Das ermöglicht den Angreifern den Klartext-Zugriff auf alle Anfragen nach der SSL/TLS-Entschlüsselung. Die Malware ersetzt die ursprüngliche Owaauth.dll, indem sie einen IIS-Filter in der Registry hinzufügt, damit die Malware bei jedem Neustart des Servers automatisch geladen wird.

Rund 11.000 Passwörter abgegriffen

Die Angreifer nutzten nach Angaben von Cyberseason außerdem den .Net-Assembly-Cache des angegriffenen Servers, um lokal generierte Binaries zu speichern und unentdeckt zu bleiben. Die Sicherheitsforscher entdeckten mehr als 11.000 von den Angreifern erbeutete Nutzernamen und Passwörter in der Datei log.txt im Stammverzeichnis des Servers.

Cybereason macht keine Angaben dazu, ob der Angriff auch bei anderen Firmen entdeckt wurde. Wir haben bei Microsoft eine Stellungnahme angefragt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. Cyberbunker-Prozess
    Die Darknet-Schaltzentrale über den Weinbergen
  2. iPad Air 2020 im Test
    Apples gute Alternative zum iPad Pro
  3. Philips-Leuchten-Konfigurator im Test
    Die schicke Leuchte aus dem 3D-Drucker
  4. Keine E-Fuels
    VW fordert von der Regierung Bekenntnis zu E-Autos
  5. Odroid-HC4
    Ein einfaches NAS für 65 US-Dollar
Anzeige
Top-Angebote
  1. (u. a. LG OLED55CX6LA 55-Zoll-OLED für 1.397,56€ (Bestpreis!), Asus XG438Q 43-Zoll-UHD-Monitor...
  2. Echo Dot für 58,48€, Echo Dot mit Uhr für 68,22€
  3. Echo für 97,47€, Echo + Philips Hue Lampe für 97,47€
  4. (u. a. Take Two Promo (u. a. Borderlands: The Handsome Collection für 13,99€), Wormageddon...
Kommentarübersicht
Microsofts Stellungsnahme online
ThomasABrown 07. Okt 2015

Mir hat Microsoft bereits geantwortet :-) http://blogs.technet.com/b/exchange/archive...

Re: wie ging das einschleusen vorsich...
Anonymer Nutzer 07. Okt 2015

ich möchte keinen admin in meiner firma haben, der sicherheitsmaßnahmen nur dann setzt...

Re: Wie wurde die DLL eingespielt?
Friedrich.Thal 07. Okt 2015

Vielleicht ist der Server schon länger undicht und keiner hat es gemerkt. Die Leutchen...

Folgen Sie uns
       
Yakuza - Like a Dragon - Gameplay (Xbox Series X)

Im Video zeigt Golem.de, wie Yakuza - Like a Dragon auf der Xbox Series X aussieht.

Yakuza - Like a Dragon - Gameplay (Xbox Series X) Video aufrufen
Star Wars
Serien & Filme: Star Wars - worauf wir uns freuen können
Serien & Filme
Star Wars - worauf wir uns freuen können

Lange sah es so aus, als liege die Zukunft von Star Wars überwiegend im Kino. Seit dem Debüt von Disney+ und dem teils schlechten Abschneiden der neuen Filme hat sich das geändert.
Von Peter Osteried

  1. Star Wars Disney und Lego legen Star Wars Holiday Special neu auf
  2. Star Wars Squadrons im Test Die helle und dunkle Seite der Macht
  3. Disney+ Erster Staffel-2-Trailer von The Mandalorian ist da
Mond
Artemis Accords: Mondverträge mit bitterem Beigeschmack
Artemis Accords
Mondverträge mit bitterem Beigeschmack

"Sicherheitszonen" zum Rohstoffabbau auf dem Mond, das Militär darf tun, was es will, Machtfragen werden nicht geklärt, der Weltraumvertrag wird gebrochen.
Von Frank Wunderlich-Pfeiffer

  1. Artemis Nasa engagiert Nokia für LTE-Netz auf dem Mond
Golem.de
Shifoo: Golem.de startet Betatest seiner Karriere-Coaching-Plattform
Shifoo
Golem.de startet Betatest seiner Karriere-Coaching-Plattform

Beratung, die IT-Profis in Job & Karriere effizient und individuell unterstützt: Golem.de startet die Video-Coaching-Plattform Shifoo. Hilf uns in der Betaphase, sie für dich perfekt zu machen, und profitiere vom exklusiven Angebot!

  1. Stellenanzeige Golem.de sucht Verstärkung für die Redaktion
  2. Stellenanzeige Golem.de sucht CvD (m/w/d)
  3. In eigener Sache Die 24-kernige Golem Workstation ist da
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /