Outlook Web Access: Angriff auf Microsofts Webmailer dokumentiert

Outlook-Web-Access wird von vielen Firmenkunden eingesetzt, um Mitarbeitern von unterwegs einen einfachen Zugriff auf Mails zu ermöglichen. In einem konkreten Fall ist es Angreifern jetzt gelungen, über eine mit Malware infizierte DLL mehr als 11.000 Zugangsdaten zu kopieren.

Artikel veröffentlicht am ,
Microsofts Outlook Web Access wurde von Hackern angegriffen.
Microsofts Outlook Web Access wurde von Hackern angegriffen. (Bild: Screenshot Golem.de)

Der Outlook-Web-Access-Dienst ist unter bestimmten Voraussetzungen angreifbar - in einem aktuellen Fall wurden angeblich mehr als 11.000 Nutzerdaten kompromittiert. Das haben Mitarbeiter der Sicherheitsfirma Cybereasonbekanntgegeben. Die Experten wurden nach eigenen Angaben von einem Kunden mit einer Analyse beauftragt, der auf seinem Server abnormales Verhalten festgestellt hatte.

Stellenmarkt
  1. Sachbearbeitung DV-Organisation, Digitalisierung
    Kreis Minden-Lübbecke, Minden
  2. Informatiker / Anwendungsentwickler / Programmierer als Softwareentwickler Desktop (m/w/d)
    easySoft. GmbH, Metzingen
Detailsuche

Outlook Web Access stellt ein Webmail-Interface bereit, damit Nutzer ihre E-Mails auch ohne IMAP/POP3-Client abrufen können. Damit stellt der Server ein Bindeglied zwischen öffentlicher und privater Infrastruktur her.

Um den Angriff durchzuführen, schleusten die Angreifer eine mit Malware infizierte Owaauth.dll ein, die für den späteren Angriff als Backdoor dient. Auf Nachfrage von Golem.de teilten die Sicherheitsforscher mit, dass die Quelle der Infektion vermutlich gestohlene Zugangsdaten seien.

Diese Datei wird von OWA im Authentifizierungsmechanismus im Active-Directory-Dienst genutzt. Die DLL installiert außerdem einen Internet-Server-Application-Programming-Interface-Filter (ISAPI) auf Microsofts IIS-Webserver. Das ermöglicht den Angreifern den Klartext-Zugriff auf alle Anfragen nach der SSL/TLS-Entschlüsselung. Die Malware ersetzt die ursprüngliche Owaauth.dll, indem sie einen IIS-Filter in der Registry hinzufügt, damit die Malware bei jedem Neustart des Servers automatisch geladen wird.

Rund 11.000 Passwörter abgegriffen

Golem Karrierewelt
  1. Automatisierung (RPA) mit Python: virtueller Zwei-Tage-Workshop
    03./04.11.2022, Virtuell
  2. Green IT: Praxisratgeber zur nachhaltigen IT-Nutzung (virtueller Ein-Tages-Workshop)
    10.08.2022, virtuell
Weitere IT-Trainings

Die Angreifer nutzten nach Angaben von Cyberseason außerdem den .Net-Assembly-Cache des angegriffenen Servers, um lokal generierte Binaries zu speichern und unentdeckt zu bleiben. Die Sicherheitsforscher entdeckten mehr als 11.000 von den Angreifern erbeutete Nutzernamen und Passwörter in der Datei log.txt im Stammverzeichnis des Servers.

Cybereason macht keine Angaben dazu, ob der Angriff auch bei anderen Firmen entdeckt wurde. Wir haben bei Microsoft eine Stellungnahme angefragt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Verwandte Artikel
artikel-bild
Always Connected PCs
Vielversprechender Windows-RT-Nachfolger mit Fragezeichen
artikel-bild
Schnelle Webseiten
Google bringt AMP für E-Mails
artikel-bild
Cortana-Integration
Outlook Mobile wird sich mit der Sprache bedienen lassen
Meistgelesen
artikel-bild
Obi-Wan Kenobi Episode 4 bis 6
Darth Vader und das Imperium der Schwachköpfe
artikel-bild
Franziska Giffey
Deepfake von Klitschko täuscht Berlins Bürgermeisterin
artikel-bild
Akkutechnik
CATLs Qilin-Batterie schlägt Teslas 4680-Akku deutlich
Kommentarübersicht
Microsofts Stellungsnahme online
ThomasABrown 07. Okt 2015

Mir hat Microsoft bereits geantwortet :-) http://blogs.technet.com/b/exchange/archive...

Re: wie ging das einschleusen vorsich...
Anonymer Nutzer 07. Okt 2015

ich möchte keinen admin in meiner firma haben, der sicherheitsmaßnahmen nur dann setzt...

Re: Wie wurde die DLL eingespielt?
Friedrich.Thal 07. Okt 2015

Vielleicht ist der Server schon länger undicht und keiner hat es gemerkt. Die Leutchen...

Aktuell auf der Startseite von Golem.de
Franziska Giffey
Deepfake von Klitschko täuscht Berlins Bürgermeisterin

Berlins Regierende Bürgermeisterin Franziska Giffey (SPD) hat per Videokonferenz mit einem Deepfake von Vitali Klitschko gesprochen. Der Betrug flog auf.

Franziska Giffey: Deepfake von Klitschko täuscht Berlins Bürgermeisterin
Artikel
  1. Datenpanne: IT-Mitarbeiter verliert USB-Stick mit Meldedaten einer Stadt
    Datenpanne
    IT-Mitarbeiter verliert USB-Stick mit Meldedaten einer Stadt

    Die Tasche mit dem USB-Stick wurde über ein in ihr ebenfalls enthaltenes Smartphone geortet und gefunden.

  2. Logistik: Post will mit Solarschiff Pakete in Berlin verteilen
    Logistik
    Post will mit Solarschiff Pakete in Berlin verteilen

    Die Post will Pakettransporte von der Straße aufs Wasser verlagern. Das erste der Schiffe wird mit Solarstrom betrieben. In Zukunft sollen sie autonom fahren.

  3. Qualitätsprobleme: VW muss ID.Buzz-Produktion wegen Akkufehlern stoppen
    Qualitätsprobleme
    VW muss ID.Buzz-Produktion wegen Akkufehlern stoppen

    Qualitätsprobleme mit dem Akku des Volkswagen ID. Buzz sorgen für einen Produktionsstopp. Schuld soll eine Akkuzelle eines neuen Lieferanten sein.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MSI 323CQRDE (WQHD, 165 Hz) 399€ • LG OLED 48C17LB 919€ • Samsung 980 PRO (PS5-komp.) 2 TB 234,45€ • Apple HomePod Mini 84€ • 16.000 Artikel günstiger bei Media Markt • MindStar (u. a. AMD Ryzen 7 5700G 239€, Samsung 970 EVO Plus 250 GB 39€ und Corsair Crystal 680X RGB 159€) [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /