Un nuevo APT (Advanced Persistent Thread) ha sido detectado por investigadores de Cybereason afectando a un servidor de correo Microsoft OWA, a través de un .dll plantado en el servidor por los atacantes, estos conseguían acceso todas las credenciales en plano de los usuarios que hicieran uso de este servicio.
El descubrimiento de este APT ha tenido lugar en los servidores de una empresa de la cual no ha trascendido el nombre. En el propio servidor Microsoft Outlook Web Application más conocido como OWA, los atacantes habían sido capaces de implantar un módulo .dll que se encargaba de capturar y almacenar las credenciales de los usuarios. Este .dll no firmado utilizaba el nombre de OWAAUTH.dll, el mismo que otro componente legítimo del servidor.
En este caso esta empresa utilizaba el servicio OWA tanto de cara a Internet como internamente y al utilizar autenticación a través de credenciales de dominio, una vez los atacantes conseguían las mismas tenían total acceso a la red de la empresa.
El módulo que al ejecutarse en el propio servidor era capaz de acceder a las peticiones HTTPS una vez desencriptadas, las almacenaba encriptadas con DES en un fichero llamado c:\log.txt. Así mismo este .dll también contaba con un backdoor que permitía a los atacantes modificar el servidor OWA.
El ataque detectado gracias primero a las sospechas del personal de IT de la propia empresa ,debido a la actividad inusual en la red, y más tarde confirmado por Cybereason ha logrado al menos 11.000 credenciales solo en esa empresa y se sospecha por la sofisticación del mismo que otros servidores similares hayan podido ser vulnerados siguiendo el mismo esquema.
Fuente Cybereason
