Viele Unternehmen sind sich nicht bewusst, welch verführerisches Ziel der Webdienst von Outlook darstellt. Sicherheitsforscher zeigen an einen aktuellen Fall, wie Angreifer darüber Domänen-Passwörter ausleiten können.
Outlook Web Access (OWA) ist ein lohnendes Ziel für Angreifer: Der Dienst ist dem öffentlichen Netz ausgesetzt und hat Zugriff auf Anmelde-Daten der Domäne. Das heißt, man kann ihn dazu missbrauchen, Passwörter aus einem Firmennetzwerk zu sammeln. Genau das ist in einem Fall passiert, den die Sicherheitsfirma Cybereason jetzt im Detail beschrieben hat. Durch Manipulation des Mail-Dienstes gelangten Angreifer an mehr als 11.000 Nutzernamen und die dazugehörigen Passwörter. Böse DLL
Das Outlook Web Access einen kritischen Schwachpunkt im Windows-Netz darstellen kann, ist nicht neu. Schon 2010 warnte ein Sicherheitsforscher heise Security vor einem ähnlichen Angriffsszenario. Im konkret dokumentierten Fall deponierten die Angreifer eine DLL mit Schadcode auf dem Server, die den Platz einer legitimen DLL einnahm. Diese DLL verschaffte ihnen eine Hintertür auf den Server und sammelte Nutzerdaten der Domäne. Außerdem manipulierten sie den auf dem Server laufenden IIS-Webserver, um bestimmte HTTP-Requests herauszufiltern – das erlaubte ihnen, die SSL/TLS-Verschlüsselung des Servers zu umgehen.
Welcher Kunde der Sicherheitsfirma Opfer des Angriffs wurde, geben die Forscher nicht bekannt. Allerdings enthält die Hintertür den Firmennamen des Opfers, was verdeutlicht, dass es sich um einen gezielten Angriff handelte. Außer dem Abgreifen von Daten ermöglichte die bösartige DLL auch das Ausführen von beliebigem Schadcode auf dem Server. Wie die Hacker ihre Hintertür auf dem System platzieren konnten, darüber schweigt sich Cybereason allerdings aus. Unterschätzer Schwachpunkt
Die Forscher entdeckten den Zugriff durch ein automatisches Intrusion-Detection-Werkzeug, nachdem die Betrieber der Domäne verdächtige Umstände in ihrem Netz beobachtet hatten. Sie weisen darauf hin, dass OWA-Server oft als Gefahrenquelle übersehen werden. Sicherheitsbeauftragte wüssten in der Regel um die Brisanz von Active-Directory-Servern, ließen OWA aber oft außer acht, obwohl dieser Dienst ebenfalls Zugriff auf viele Domänen-Anmeldedaten erlaubt.