Abo
  • Services:
Anzeige
Microsofts Outlook Web Access wurde von Hackern angegriffen.
Microsofts Outlook Web Access wurde von Hackern angegriffen. (Bild: Screenshot Golem.de)

Outlook Web Access: Angriff auf Microsofts Webmailer dokumentiert

Microsofts Outlook Web Access wurde von Hackern angegriffen.
Microsofts Outlook Web Access wurde von Hackern angegriffen. (Bild: Screenshot Golem.de)

Outlook-Web-Access wird von vielen Firmenkunden eingesetzt, um Mitarbeitern von unterwegs einen einfachen Zugriff auf Mails zu ermöglichen. In einem konkreten Fall ist es Angreifern jetzt gelungen, über eine mit Malware infizierte DLL mehr als 11.000 Zugangsdaten zu kopieren.

Der Outlook-Web-Access-Dienst ist unter bestimmten Voraussetzungen angreifbar - in einem aktuellen Fall wurden angeblich mehr als 11.000 Nutzerdaten kompromittiert. Das haben Mitarbeiter der Sicherheitsfirma Cybereasonbekanntgegeben. Die Experten wurden nach eigenen Angaben von einem Kunden mit einer Analyse beauftragt, der auf seinem Server abnormales Verhalten festgestellt hatte.

Anzeige

Outlook Web Access stellt ein Webmail-Interface bereit, damit Nutzer ihre E-Mails auch ohne IMAP/POP3-Client abrufen können. Damit stellt der Server ein Bindeglied zwischen öffentlicher und privater Infrastruktur her.

Um den Angriff durchzuführen, schleusten die Angreifer eine mit Malware infizierte Owaauth.dll ein, die für den späteren Angriff als Backdoor dient. Auf Nachfrage von Golem.de teilten die Sicherheitsforscher mit, dass die Quelle der Infektion vermutlich gestohlene Zugangsdaten seien.

Diese Datei wird von OWA im Authentifizierungsmechanismus im Active-Directory-Dienst genutzt. Die DLL installiert außerdem einen Internet-Server-Application-Programming-Interface-Filter (ISAPI) auf Microsofts IIS-Webserver. Das ermöglicht den Angreifern den Klartext-Zugriff auf alle Anfragen nach der SSL/TLS-Entschlüsselung. Die Malware ersetzt die ursprüngliche Owaauth.dll, indem sie einen IIS-Filter in der Registry hinzufügt, damit die Malware bei jedem Neustart des Servers automatisch geladen wird.

Rund 11.000 Passwörter abgegriffen

Die Angreifer nutzten nach Angaben von Cyberseason außerdem den .Net-Assembly-Cache des angegriffenen Servers, um lokal generierte Binaries zu speichern und unentdeckt zu bleiben. Die Sicherheitsforscher entdeckten mehr als 11.000 von den Angreifern erbeutete Nutzernamen und Passwörter in der Datei log.txt im Stammverzeichnis des Servers.

Cybereason macht keine Angaben dazu, ob der Angriff auch bei anderen Firmen entdeckt wurde. Wir haben bei Microsoft eine Stellungnahme angefragt.


eye home zur Startseite
ThomasABrown 07. Okt 2015

Mir hat Microsoft bereits geantwortet :-) http://blogs.technet.com/b/exchange/archive...

bjs 07. Okt 2015

ich möchte keinen admin in meiner firma haben, der sicherheitsmaßnahmen nur dann setzt...

Friedrich.Thal 07. Okt 2015

Vielleicht ist der Server schon länger undicht und keiner hat es gemerkt. Die Leutchen...



Anzeige

Stellenmarkt
  1. Interhyp Gruppe, München
  2. Automotive Safety Technologies GmbH, Gaimersheim
  3. über Nash Technologies, Böblingen
  4. PBM Personal Business Machine AG, Köln


Anzeige
Top-Angebote
  1. bei Alternate.de
  2. 5€
  3. 149,90€ + 5,99€ Versand

Folgen Sie uns
       


  1. Apple

    Ladestation Airpower soll im März 2018 auf den Markt kommen

  2. Radeon Software Adrenalin 18.2.3

    AMD-Treiber macht Sea of Thieves schneller

  3. Lifebook U938

    Das fast perfekte Business-Ultrabook bekommt vier Kerne

  4. Wochenrückblick

    Früher war nicht alles besser

  5. Raumfahrt

    Falsch abgebogen wegen Eingabefehler

  6. Cloud

    AWS bringt den Appstore für Serverless-Software

  7. Free-to-Play-Strategie

    Total War Arena beginnt den Betabetrieb

  8. Funkchip

    US-Grenzbeamte können Pass-Signaturen nicht prüfen

  9. Telekom-Chef

    "Sorry! Da ist mir der Gaul durchgegangen"

  10. WD20SPZX

    Auch Western Digital bringt flache 2-TByte-HDD



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Freier Media-Player: VLC 3.0 eint alle Plattformen
Freier Media-Player
VLC 3.0 eint alle Plattformen

Fujitsu Lifebook U727 im Test: Kleines, blinkendes Anschlusswunder
Fujitsu Lifebook U727 im Test
Kleines, blinkendes Anschlusswunder
  1. Palmsecure Windows Hello wird bald Fujitsus Venenscanner unterstützen
  2. HP und Fujitsu Mechanischer Docking-Port bleibt bis 2019
  3. Stylistic Q738 Fujitsus 789-Gramm-Tablet kommt mit vielen Anschlüssen

Razer Kiyo und Seiren X im Test: Nicht professionell, aber schnell im Einsatz
Razer Kiyo und Seiren X im Test
Nicht professionell, aber schnell im Einsatz
  1. Stereolautsprecher Razer Nommo "Sind das Haartrockner?"
  2. Nextbit Cloud-Speicher für Robin-Smartphone wird abgeschaltet
  3. Razer Akku- und kabellose Spielemaus Mamba Hyperflux vorgestellt

  1. Re: wehe man würde das bei Apple vorschlagen ...

    thorsten... | 15:17

  2. Re: Egal ob 1 oder 10gbit die Datenmenge bleibt...

    Schattenwerk | 15:16

  3. Re: Aendert sich der Azimut von Start zu Start ?

    oxybenzol | 15:08

  4. Re: kann ich demnächst meine Notdurft auch in der...

    fritze_007 | 14:56

  5. Re: Noch nie einen Fahrer gehabt der eine Karte...

    Dwalinn | 14:51


  1. 11:53

  2. 11:26

  3. 11:14

  4. 09:02

  5. 17:17

  6. 16:50

  7. 16:05

  8. 15:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel