Ένα κακόβουλο DLL ήταν σε θέση να διαβάζει και να καταγράφει κωδικούς πρόσβασης σε μορφή απλού κειμένου
Μια πρωτοφανής επίθεση hacking κατά του Web Application του Microsoft Outlook (OWA) επέτρεπε στους επιτιθέμενους να καταγράφουν και να υποκλέπτουν τα διαπιστευτήρια ελέγχου ταυτότητας μέσω ενός κακόβουλου αρχείου DLL, το οποίο είχε τοποθετηθεί στο διακομιστή και λειτουργούσε ως backdoor.
Η επίθεση αποκαλύφθηκε από εμπειρογνώμονες της εταιρείας Cybereason, όταν η τελευταία κλήθηκε να διερευνήσει την ύποπτη δραστηριότητα που εντοπίστηκε στο διακομιστή OWA, από το προσωπικό IT της εταιρείας στον οποίο ανήκει ο server.
Το Microsoft Outlook Web Application ή αλλιώς OWA αποτελεί ουσιαστικά έναν Internet-facing webmail server, o οποίος χρησιμοποιείται από ιδιωτικές εταιρείες για την ανάπτυξη των δικών τους υπηρεσιών ηλεκτρονικού ταχυδρομείου.
Οι Hackers εισήγαγαν ένα κακόβουλο DLL στο διακομιστή OWA. Όλα τα διαπιστευτήρια των χρηστών καταγράφονταν και αποστέλλονταν στους επιτιθέμενους.
Όπως εξηγούν οι εμπειρογνώμονες της Cybereason, οι επιτιθέμενοι αντικατέστησαν το OWAAUTH.dll (το οποίο χρησιμοποιείται από το OWA ως μέρος του μηχανισμού ταυτοποίησης) με ένα πανομοιότυπο αρχείο που περιείχε backdoor. Το κακόβουλο DLL συνέλεγε πληροφορίες σχετικά με τις διαδικασίες πιστοποίησης του εξυπηρετητή Active Directory, καθώς και όλα τα HTTPS-protected server requests, συμπεριλαμβανομένων των login διαπιστευτηρίων, μετά την αποκρυπτογράφησή τους. Με τον τρόπο αυτό οι hackers λάμβαναν όλες τις πληροφορίες/στοιχεία σύνδεσης σε μορφή απλού κειμένου.
Οι hackers που πραγματοποίησαν την επίθεση είχαν λάβει επίσης μέτρα για να μην απομακρυνθεί το backdoor που είχαν εγκαταστήσει, δημιουργώντας ένα IIS (Microsoft’s Web server) φίλτρο μέσα από το οποίο φορτωνόταν η κακόβουλη έκδοση του αρχείου OWAAUTH.dll σε κάθε επανεκκίνηση του διακομιστή.
