Saldırganlar, IIS Modülünü Kullanarak Exchange Kimlik Bilgilerini Çalıyor
Saldırganlar kimlik bilgilerini çalmak ve sunucuda uzaktan komutları yürütmek için Microsoft Exchange Outlook Web Access sunucularına ‘Owowa’ adlı kötü niyetli bir IIS web sunucusu modülü kuruyor. Kaspersky, ‘Owowa’ hedeflerinin Güneydoğu Asya ile sınırlı olmadığını ve Avrupa’yıda hedef aldığı belirtildi.
Sıra dışı bir saldırı
Microsoft Exchange sunucuları genellikle saldırganların hedefi altında özelliklede owa. IIS modülleri, özellikle web shell gibi tipik web uygulaması tehditleriyle karşılaştırıldığında, arka kapılar için yaygın bir format değildir ve bu nedenle gözden kaçabilir.” diyor Kaspersky. Exchange yazılımı güncellendikten sonra bile devam edebiliyor. Owowa, özellikle Exchange sunucularının OWA uygulamalarını hedefler ve OWA oturum açma web sayfasında başarılı bir şekilde kimlik doğrulaması yapan kullanıcıların kimlik bilgilerini günlüğe kaydetmek için tasarlanmış.
Böyle bir durumda, Owowa kullanıcı adını, parolayı, kullanıcı IP adresini ve geçerli zaman damgasını saklar ve RSA kullanarak verileri şifreler. Saldırgan sonra kötü amaçlı modüle manuel olarak bir komut göndererek çalınan verileri toplayabilir.
Kaspersky, “Siber suçluların, kullanıcı adı ve parola alanlarına özel hazırlanmış komutları girmek için zafiyetli bir sunucunun OWA oturum açma sayfasına erişmesi gerekir” diye açıklıyor.
IIS modülünü tespit edin ve kaldırın
Araştırmacılar tarafından kötü amaçlı modül aşağıda gösterildiği gibi “ExtenderControlDesigner” adını kullanır.
Kaynak: bleepingcomputer.com
