Investigadores Cybereason han encontrado una peligrosa puerta trasera y APT instalada en algunos servidores Microsoft Outlook Web aplicación (OWA) que ha permitido a los delincuentes robar credenciales de autenticación de correo electrónico de las organizaciones. Es importante señalar que este archivo no corresponde a una distribución oficial de Microsoft, sino a un archivo externo e instalado por los atacantes de forma persistente.

Los investigadores descubrieron un archivo DLL sospechosa en algunos servidor OWA de algunas compañías. Este archivo permitía descifrar conexiones HTTPS desde el servidor. Aunque el archivo tenía el mismo nombre que otra DLL benigna, el archivo sospechoso no estaba firmado y se carga desde otro directorio.

Según la empresa de seguridad, los atacantes sustituyen el archivo OWAAUTH.dll (utilizado por OWA como parte del mecanismo de autenticación) por uno que contenía una puerta trasera. El archivo backdoored permitió a los atacantes leer todas las peticiones HTTPS de los servidores afectados, incluyendo información de inicio de sesión.

“Este ataque permitió a los delincuentes establecer control persistente sobre distintas organizaciones sin ser detectados durante varios meses y robar más de 11.000 credenciales” dijo la empresa en su blog [PDF].

Los investigadores descubrieron más de 11.000 combinaciones de nombres de usuario y contraseñas en un archivo log.txt en el servidor utilizado por los atacantes para almacenar todos los datos registrados.

Para evitar la detección de esta puerta trasera, los atacantes también crearon un filtro en IIS a través del cual se cargaba el archivo malicioso OWAAUTH.dll cada vez que se reiniciaba el servidor. Los atacantes además utilizaron ensamblados de .NET para evitar inspecciones de seguridad.