Kaspersky, kimlik bilgilerini çalan Microsoft Exchange eklentisini ortaya çıkardı

Kaspersky daha önce bilinmeyen, Microsoft web sunucularına ek özellikler sağlamayı amaçlayan bir yazılım parçası şeklinde gizlenen IIS modülünü ortaya çıkardı. Kullanıcının Outlook Web Access’te (OWA) oturum açarken girdiği kimlik bilgilerini çalan bu modüle “Owowa” adı verildi.

2021’de gelişmiş tehdit aktörleri, Microsoft Exchange Server’ın güvenlik açıklarından giderek daha fazla yararlanmaya başladı. Mart ayında sunuculardaki dört kritik güvenlik açığı, saldırganların kayıtlı tüm e-posta hesaplarına erişmesine ve rastgele kod yürütmesine izin verdi. Kaspersky uzmanları, Exchange’de potansiyel olarak zararlı olabilecek eklentileri ararken, saldırganların Outlook Web Access için oturum açma kimlik bilgilerini çalmasına ve sunucuya uzaktan erişim elde etmesine olanak tanıyan kötü amaçlı bir modülü ortaya çıkardı. Modülün yetenekleri, görünüşte zararsız istekler gönderilerek (OWA kimlik doğrulama istekleri gibi) kolayca başlatılabiliyor. Modül saldırganların sunucuya uzaktan kontrol erişimi elde etmelerini de sağlıyor. Bu modül, ağ izlemeyle tespit edilmesi zor olan gizli bir hırsızlık yöntemi kullanıyor. Ayrıca Exchange’den gelen yazılım güncellemelerine karşı da dayanıklı ve cihazda uzun süre gizli kalabiliyor.

Modülün 2020 sonuyla Nisan 2021 arasında derlendiğini ve Malezya, Moğolistan, Endonezya ve Filipinler’deki kurbanları hedef aldığını belirten Kaspersky uzmanları, kurbanların çoğunun devlet kurumlarıyla ve devlet nakliye şirketleriyle bağlantılı olduğunu vugulayarak, Avrupa’da da başka kurbanların olmasının muhtemel olduğu dile getirdi.

Konuyla ilgili açıklama yapan Kaspersky Global Research Analiz Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Pierre Delcher “Owowa ile ilgili esas tehlike, saldırganın web hizmetlerine yasal olarak erişen kullanıcıların kimlik bilgilerini çalmak için bu modülü kullanabilmesidir. Bu, uzaktan erişim elde etmenin kimlik avı e-postaları göndermekten çok daha gizli bir yolu. Ek olarak bu tür tehditleri tespit etmek için IIS yapılandırma araçlarından yararlanılsa da bunlar standart dosya ve ağ izleme etkinliklerinin bir parçası değil. Bu nedenle Owowa güvenlik araçlarının gözünden kolayca kaçabilir” dedi.

Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Paul Rascagneres ise, “Owowa bir IIS modülü. Bu aynı zamanda Microsoft Exchange güncellense bile çalışmaya devam ettiği anlamına geliyor. İyi haber şu ki saldırganlar çok sofistike görünmüyor. Şirketler, son derece hassas oldukları ve tüm kurumsal e-postaları içerdiği için Exchange sunucularını dikkatle yakından izlemeli. Ayrıca çalışan tüm modülleri kritik olarak değerlendirmenizi ve bunları düzenli olarak kontrol etmenizi öneririz” şeklinde konuştu.