Servidor de datos en un datacenter

Últimamente estamos que no paramos con noticias sobre seguridad informática. Según podemos leer en Ars Technica, un grupo de investigadores de seguridad han encontrado un malware que puede robar todas las contraseñas de correo de una empresa mediante una infección de su servidor de correo Outlook Web Application —a partir de ahora OWA— durante un período extendido de tiempo.

Este grupo de investigadores pertenece a la firma Cybereason, que descubrieron el módulo malicioso de OWA después de recibir una llamada de una empresa —cuyo nombre no se ha revelado— que tenía más de 19.000 puntos finales de red. El cliente había sido testigo de unas cuantas anormalidades en su red, y pidió a Cybereason que buscase señales de una infección. En pocas horas, la empresa de seguridad encontró un DLL sospechoso en el servidor OWA. Tenía el mismo nombre que otro DLL benigno, aunque este estaba sin firmar y se había cargado desde un directorio diferente.

Un DLL con una puerta trasera

Este archivo es OWAAUTH.dll, y contenía una puerta trasera. Como se ejecutaba en el servidor, era capaz de recoger todas las peticiones seguras HTTPS después de que hubiesen sido desencriptadas. Como resultado, los atacantes detrás de esta amenaza persistente —campañas que tienen como objetivo a una empresa específica durante meses o años— pudieron robar las contraseñas de todo el mundo que tuviese acceso al servidor.

Los servidores requieren vigilancia constanteLos servidores requieren vigilancia constante / reynermedia editada con licencia CC 2.0

Según un post en el blog de Cybereason, los hackers consiguieron “meter un pie en la puerta” del servidor OWA. Según el mismo equipo, los OWA requieren que las empresas definan un set de restricciones un tanto laxas, y en este caso el OWA se configuró de manera que permitiese acceso al servidor desde Internet. Esto permitió a los atacantes establecer control persistente sobre toda la empresa sin ser detectados durante varios meses.

Los servidores OWA son un recurso muy valioso para los atacantes. Un servidor OWA actúa como un intermediario entre el Internet público y un recurso interno que se encuentra dentro del cortafuegos de una empresa. Como el cliente estaba usando un OWA para permitir acceso remoto de usuario a Outlook, esto permitía a los hackers entrar a todas las credenciales de la empresa. Cybereason no ha comentado cuánto se ha extendido el ataque más allá de un cliente, pero hay posibilidades de que no se trate de algo puntual. En Cybereason creen que este tipo de ataque se podría repetir.

Relacionados

Nos encanta escucharte ¿Nos dejas tu opinión?