Hacker Menembus Server Microsoft OWA dan Mencuri 11.000 Password

Sebuah serangan eksploitasi pada Microsoft Outlook Web Application (OWA) yang memungkinkan hacker untuk merekam otentikasi melalui file DLL yang ditempatkan pada server aplikasi. DLL tersebut bisa membaca password dan log dalam bentuk teks. Serangan itu ditemukan oleh vendor keamanan Cybereason, ketika sebuah perusahaan meminta jasa setelah personil IT mereka mendeteksi perilaku yang mencurigakan pada server OWA. Microsoft Outlook Web Application (OWA) adalah server webmail, sebuah komponen dari Microsoft Exchange Server yang dapat digunakan untuk memberikan kemampuan email internal.

Hacker mengganti DLL pada server OWA

Cybereason menjelaskan, penyerang mengganti OWAAUTH.dll dengan DLL yang berisi backdoor, dan mengumpulkan informasi tentang prosedur otentikasi terhadap server Active Directory lokal (server untuk mengelola prosedur otentikasi bersama).

Bahkan jika semua prosedur otentikasi ditangani dengan benar oleh server menggunakan enkripsi SSL/TLS, file DLL memungkinkan hacker untuk mendapatkan semua informasi login dalam bentuk teks, DLL bekerja setelah tahap dekripsi SSL/TLS.

Hacker mencuri 11.000 username dan password

Semua data login disimpan dalam file log.txt di partisi C: server. Peneliti Cybereason menemukan lebih dari 11.000 user – password di file ini. Perusahaan yang memiliki server OWA sekitar 19.000 karyawan.

Hacker juga melakukan langkah-langkah untuk mencegah backdoor dihapus dengan menciptakan filter IIS (Web Server Microsoft) di mana akan memuat DLL eksploitasi setiap kali server direstart. Selain itu, hacker juga menambahkan kemampuan khusus untuk DLL yang mengawasi koneksi HTTP dan mengeksekusi perintah dengan menyamar sebagai lalu lintas internet biasa.

(softpedia)

You may also like...