Cybereason kurumsal kimlik bilgilerinin çalınmasına yol açan yeni bir webmail sunucu saldırısı tespit etti.
Daha önce kullanılmayan bir yönteme başvurulduğunun altını çizen güvenlik uzmanları, zararlı DLL dosyasını büyük bir kullanıcı kitlesini taramaları sonucunda ortaya çıkardılar.
Siber güvenlik araştırmacıları saldırganların kurumsal kimlik bilgilerini çalmasına imkan tanıyan yeni bir webmail sunucu saldırısı tespit etti. Cybereasongüvenlik şirketinde görev yapan araştırmacılara göre, zararlı bir dinamik link kütüphanesi (DLL) kullanılarak kurumların Outlook Web Uygulamasına (OWA) yerleştirilen yazılım aracılığıyla saldırganlar çalışanların kullanıcı adı ve şifre bilgilerine ulaşabiliyorlar.
Daha önce kullanılmayan bir yönteme başvurulduğunun altını çizen güvenlik uzmanları, zararlı bir DLL dosyasını 19.000 kullanıcısı olan sistemi tarayıp gözetledikten sonra tespit edebildiklerini belirtti. Zrarsız DLL ile aynı isme sahip olmasına karşın, dosyanın kaynağının bulunmaması ve farklı bir dizinden yüklenmiş olması zararlı DLL’in bulunmasını sağlayan etkenler oldu. Web arayüzüne sahip diğer sunucuların aksine OWA internetle bağlantılı bir altyapıya sahip. Bu nedenle korunduğu düşünülen DMZ (Demilitarized Zone) ile web arasında bir aracı olmasını sağlıyor.
Söz konusu altyapı ile gerçekleştirilen saldırının hedefindeki şirket Outlook’a uzaktan erişim sağlamak için OWA sunucusunu kullanıyor. OWA platformu erişim için kullanılan kimlik bilgilerini aldığında, sunucuya giren bir saldırgan bütün kurumdakilerin hesap giriş bilgilerine sahip olabiliyor.
Siber korsanlar aynı zamanda HTTP girişlerini filtremelerini sağlayan bir yöntem kullandılar. Bu sayede sunucu başlatıldığı zaman zararlı yazılım kendini yükleyerek kimlik bilgilerini saldırganlara gönderiyordu.
Tripwire güvenlik analisti Ken Westin, söz konusu saldırının kritik noktaların korunması açısından oldukça hassas olunması gerektiğinin kanıtlandığı görüşünde. Şirketlerin son kullanıcı hareketlerine dikkat etmesi gerektiğini vurgulayan Westin, gözden kaçırılan ufak bir detayın tüm sistemin ihlal edilmesine sebep olacağını dile getirdi.
Westin’e göre tehdit istihbaratı şirketlere belirli bir saldırı girişiminin önceden yaşanıp yaşanmadığını haber verebilir. Ancak şirketlerin daha önce kullanılmayan yeni tehditlere karşı savunma yapabilmek için güçli bir güvenlik istihbaratına ihtiyacı olduğunu belirtti.