OWOWA: il modulo IIS dannoso

 
Tratto da Blog Kaspersky
Autore:  Kaspersky Team – 16/12/2021
 
 

Il modulo dannoso IIS (Internet Information Services) rende Outlook sul web uno strumento per i criminali informatici

 

 

Un modulo dannoso di Internet Information Services (IIS) sta trasformando Outlook in uno strumento per rubare credenziali e un pannello di accesso remoto. Degli attori sconosciuti hanno usato il modulo in attacchi mirati, e i nostri ricercatori lo hanno rinominato OWOWA.

Perché Outlook sul web attira gli hacker

Outlook sul web (precedentemente noto come Exchange Web Connect, Outlook Web Access e Outlook Web App, o semplicemente OWA) è un’interfaccia basata sul web per accedere al servizio Personal Information Manager di Microsoft. L’applicazione è distribuita su server Web che eseguono IIS.

Molte aziende lo usano per fornire ai dipendenti l’accesso remoto alle caselle di posta e ai calendari aziendali senza dover installare un client dedicato. Ci sono diversi metodi per implementare Outlook sul web, uno dei quali comporta l’utilizzo di Exchange Server in loco, che è quello a cui sono attratti i criminali informatici. In teoria, ottenere il controllo di questa applicazione dà loro accesso a tutta la corrispondenza aziendale, insieme a infinite opportunità per espandere il loro attacco all’infrastruttura e lanciare ulteriori campagne BEC.

Come funziona OWOWA

OWOWA si carica sui server web IIS compromessi come un modulo per tutte le app compatibili, ma il suo scopo è quello di intercettare le credenziali inserite in OWA. Il malware controlla le richieste e le risposte su Outlook nella pagina di accesso Web, e se vede che un utente ha inserito le credenziali e ha ricevuto un token di autenticazione in risposta, scrive il nome utente e la password in un file (in forma cifrata).

Inoltre, OWOWA permette ai cybercriminali di controllare la sua funzionalità direttamente tramite lo stesso modulo di autenticazione. Inserendo alcuni comandi nei campi del nome utente e della password, un hacker può recuperare le informazioni raccolte, cancellare il file log o eseguire comandi arbitrari sul server compromesso attraverso PowerShell.

Per una descrizione tecnica più dettagliata del modulo con indicatori di compromissione, leggete il nostro post su Securelist.

Chi sono le vittime degli attacchi di OWOWA?

I nostri esperti hanno rilevato attacchi basati su OWOWA su server in diversi paesi asiatici: Malesia, Mongolia, Indonesia e Filippine. Tuttavia, i nostri esperti hanno ragione di credere che i criminali informatici siano interessati anche alle organizzazioni in Europa.

La maggior parte degli obiettivi erano agenzie governative, con almeno una società di trasporti (anch’essa di proprietà statale).

Come proteggersi da OWOWA

Potete usare il comando appcmd.exe, o il normale strumento di configurazione di IIS, per rilevare il modulo dannoso OWOWA (o qualsiasi altro modulo IIS di terze parti) sul server web IIS. Tenete a mente, tuttavia, che qualsiasi server rivolto a Internet, come qualsiasi computer, ha bisogno di protezione.

16 Dicembre 2021

Zimbra… e gli altri

Zimbra Collaboration Suite, è una piattaforma di comunicazione collaborativa. Il concetto di collaboratività Zimbra lo implementa con la condivisione degli elementi che gestisce: posta elettronica, calendari, rubriche, attività, e valigetta dei documenti, possono essere rapidamente e facilmente condivisi dall’utente, senza la necessità dell’intervento del reparto IT, con altri utenti, interni o esterni al dominio.

Rispetto ai concorrenti, nel mercato del sistemi di messaggeria, come Microsoft Exchange o Lotus Domino, e dei sistemi su cloud come GoogleApps, Zimbra offre tutte le funzionalità. L’unica caratteristica che sembra mancare a Zimbra è un software client, da utilizzare.

Di fatto Zimbra non offre più una versione del suo Zimbra Desktop, a differenza di alcuni concorrenti che puntano molto della loro forza, ad esempio gran parte della forza di Microsoft è nel suo client Outlook, molto diffuso e particolarmente complicato da rimuovere.
L’assenza del client, che a prima vista potrebbe sembrare un limite è invece un grosso punto di forza per Zimbra.
L’assenza di un software specifico è colmata da una webmail molto efficace, che ha tutte le funzionalità di cui l’utente può avere necessità (inclusa la possibilità di utilizzare account esterni al server).

Inoltre Zimbra funziona correttamente con qualsiasi client di posta, incluso Outlook, che funziona esattamente come se al posto di Zimbra ci fosse Outlook. L’organizzazione e l’utente hanno la possibilità di scegliere in base alle loro preferenze quale tipo di client utilizzare.

Zimbra non ha interesse ad imporre un proprio modello software da adottare, mentre Microsoft ha interesse a vincolare Exchange ad Outlook che è a sua volta incluso nel pacchetto Office, ma Zimbra ha interesse a diffondere il suo modello di “Social”.

1 Ottobre 2014