OWOWA kötü niyetli IIS modülü

Kötü niyetli bir İnternet Bilgi Servisleri (Internet Information Services – IIS) modülü, web üzerinde Outlook’u kimlik bilgilerini çalan ve uzaktan erişim panelini ele geçiren bir araca dönüştürüyor. Araştırmacılarımızın OWOWA adını verdiği modül, bilinmeyen kişiler tarafından hedefli saldırılar gerçekleştirmek için kullanılıyor.

Web üzerinde Outlook neden saldırganların ilgisini çekiyor?

Web üzerinde Outlook (daha önceki adıyla Exchange Web Connect, Outlook Web Access ve Outlook Web App veya kısaca OWA), Microsoft’un Kişisel Bilgi Yöneticisi hizmetine erişmek için kullanılan web tabanlı bir ara birimdir. Uygulama, IIS çalıştıran Web sunucularına dağıtılır.

Birçok şirket, çalışanlarının özel bir istemci kurmak zorunda kalmadan kurumsal e-posta kutularına ve takvimlere uzaktan erişebilmesini sağlamak için bu uygulamayı kullanıyor. Web üzerinde Outlook’un uygulamasına yönelik birkaç farklı yöntem bulunuyor; bunlardan biri, siber suçluların ilgisini çeken sitede Exchange Server kullanılması. Teoride, bu uygulamanın kontrolünü ele geçirmek, saldırganlara, altyapıya yönelik saldırılarını genişletmek ve ek BEC saldırıları başlatmak için sonsuz sayıda fırsatla birlikte tüm kurumsal yazışmalara erişim sağlıyor.

OWOWA nasıl çalışıyor?

OWAWA, güvenliği ihlal edilmiş IIS Web sunucularına tüm uyumlu uygulamalar yönelik bir modül olarak yüklense de asıl amacı, OWA’ya girilen kimlik bilgilerini ele geçirmek. Kötü amaçlı yazılım, Web üzerinde Outlook oturum açma sayfasındaki istekleri ve yanıtları kontrol ediyor ve bir kullanıcının kimlik bilgilerini girdiğini ve dönüş olarak bir kimlik doğrulama token’ı aldığını gördüğünde, kullanıcı adını ve parolayı (şifreli biçimde) bir dosyaya yazıyor.

Ek olarak, OWOWA, aynı kimlik doğrulama formu aracılığıyla saldırganların Web üzerinde Outlook’un fonksiyonlarını doğrudan kontrol etmesine izin veriyor. Bir saldırgan, kullanıcı adı ve parola alanlarına belirli komutları girerek, toplanan bilgileri alabilir, günlük dosyasını silebilir veya güvenliği ihlal edilmiş sunucuda PowerShell aracılığıyla rastgele komutlar yürütebilir.

Modülün risk göstergeleriyle birlikte daha ayrıntılı teknik açıklaması için Securelist gönderimize göz atın.

Kimler OWOWA saldırılarının kurbanı oluyor?

Uzmanlarımız Malezya, Moğolistan, Endonezya ve Filipinler gibi birkaç Asya ülkesindeki sunuculara OWOWA tabanlı saldırılar düzenlendiğini tespit etti. Ancak ancak uzmanlarımız, siber suçluların Avrupa’daki kuruluşlarla da ilgilendiğini düşünüyor.

Gerçekleştirilen saldırılardaki hedeflerin çoğu, en az bir devlete ait nakliye şirketi olmak üzere (ayrıca devlete aitti) genellikle devlet kurumlarından oluşuyordu.

OOWA’ya karşı nasıl korunursunuz?

IIS Web sunucusundaki kötü amaçlı OWOWA modülünü (veya başka bir üçüncü taraf IIS modülünü) tespit etmek için appcmd.exe komutunu veya normal IIS yapılandırma aracını kullanabilirsiniz. Ancak, her bilgisayar gibi internetle bağlantısı olan herhangi bir sunucunun da korumaya ihtiyacı olduğunu unutmayın.