Abo
  • Services:
Anzeige
Microsofts Outlook Web Access wurde von Hackern angegriffen.
Microsofts Outlook Web Access wurde von Hackern angegriffen. (Bild: Screenshot Golem.de)

Outlook Web Access: Angriff auf Microsofts Webmailer dokumentiert

Microsofts Outlook Web Access wurde von Hackern angegriffen.
Microsofts Outlook Web Access wurde von Hackern angegriffen. (Bild: Screenshot Golem.de)

Outlook-Web-Access wird von vielen Firmenkunden eingesetzt, um Mitarbeitern von unterwegs einen einfachen Zugriff auf Mails zu ermöglichen. In einem konkreten Fall ist es Angreifern jetzt gelungen, über eine mit Malware infizierte DLL mehr als 11.000 Zugangsdaten zu kopieren.

Anzeige

Der Outlook-Web-Access-Dienst ist unter bestimmten Voraussetzungen angreifbar - in einem aktuellen Fall wurden angeblich mehr als 11.000 Nutzerdaten kompromittiert. Das haben Mitarbeiter der Sicherheitsfirma Cybereasonbekanntgegeben. Die Experten wurden nach eigenen Angaben von einem Kunden mit einer Analyse beauftragt, der auf seinem Server abnormales Verhalten festgestellt hatte.

Outlook Web Access stellt ein Webmail-Interface bereit, damit Nutzer ihre E-Mails auch ohne IMAP/POP3-Client abrufen können. Damit stellt der Server ein Bindeglied zwischen öffentlicher und privater Infrastruktur her.

Um den Angriff durchzuführen, schleusten die Angreifer eine mit Malware infizierte Owaauth.dll ein, die für den späteren Angriff als Backdoor dient. Auf Nachfrage von Golem.de teilten die Sicherheitsforscher mit, dass die Quelle der Infektion vermutlich gestohlene Zugangsdaten seien.

Diese Datei wird von OWA im Authentifizierungsmechanismus im Active-Directory-Dienst genutzt. Die DLL installiert außerdem einen Internet-Server-Application-Programming-Interface-Filter (ISAPI) auf Microsofts IIS-Webserver. Das ermöglicht den Angreifern den Klartext-Zugriff auf alle Anfragen nach der SSL/TLS-Entschlüsselung. Die Malware ersetzt die ursprüngliche Owaauth.dll, indem sie einen IIS-Filter in der Registry hinzufügt, damit die Malware bei jedem Neustart des Servers automatisch geladen wird.

Rund 11.000 Passwörter abgegriffen

Die Angreifer nutzten nach Angaben von Cyberseason außerdem den .Net-Assembly-Cache des angegriffenen Servers, um lokal generierte Binaries zu speichern und unentdeckt zu bleiben. Die Sicherheitsforscher entdeckten mehr als 11.000 von den Angreifern erbeutete Nutzernamen und Passwörter in der Datei log.txt im Stammverzeichnis des Servers.

Cybereason macht keine Angaben dazu, ob der Angriff auch bei anderen Firmen entdeckt wurde. Wir haben bei Microsoft eine Stellungnahme angefragt.


eye home zur Startseite
ThomasABrown 07. Okt 2015

Mir hat Microsoft bereits geantwortet :-) http://blogs.technet.com/b/exchange/archive...

bjs 07. Okt 2015

ich möchte keinen admin in meiner firma haben, der sicherheitsmaßnahmen nur dann setzt...

Friedrich.Thal 07. Okt 2015

Vielleicht ist der Server schon länger undicht und keiner hat es gemerkt. Die Leutchen...



Anzeige

Stellenmarkt
  1. DATAGROUP Köln GmbH, Essen
  2. CompuGroup Medical Dentalsysteme GmbH, München, Kassel, Düsseldorf
  3. Robert Bosch GmbH, Abstatt
  4. Bertrandt Services GmbH, Ulm


Anzeige
Spiele-Angebote
  1. 7,99€
  2. 199€ - Release 13.10.
  3. 19,99€ - Release 19.10.

Folgen Sie uns
       


  1. MacOS 10.13

    Apple gibt High Sierra frei

  2. WatchOS 4.0 im Test

    Apples praktische Taschenlampe mit autarkem Musikplayer

  3. Werksreset

    Unitymedia stellt Senderbelegung heute in Hessen um

  4. Aero 15 X

    Mehr Frames mit der GTX 1070 im neuen Gigabyte-Laptop

  5. Review Bombing

    Valve verbessert Transparenz bei Nutzerbewertungen auf Steam

  6. Big Four

    Kundendaten von Deloitte offenbar gehackt

  7. U2F

    Yubico bringt winzigen Yubikey für USB-C

  8. Windows 10

    Windows Store wird zum Microsoft Store mit Hardwareangeboten

  9. Kabelnetz

    Eazy senkt Preis für 50-MBit/s-Zugang im Unitymedia-Netz

  10. Nintendo

    Super Mario Run wird umfangreicher und günstiger



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Community based Parking Mercedes S-Klasse liefert Daten für Boschs Parkplatzsuche

Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Apache-Sicherheitslücke Optionsbleed bereits 2014 entdeckt und übersehen
  2. Open Source Projekt Oracle will Java EE abgeben

Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

  1. Re: Was nützt das? Suchen nach Krümeln?

    Lord Gamma | 20:50

  2. Re: Was ihnen Golem unterschlägt

    Reitgeist | 20:50

  3. Amateure

    m_jazz | 20:46

  4. Die Handys sind ein Krampf

    Basmyr | 20:46

  5. Re: Android als Seniorensystem?

    BLi8819 | 20:40


  1. 19:40

  2. 19:00

  3. 17:32

  4. 17:19

  5. 17:00

  6. 16:26

  7. 15:31

  8. 13:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel