El nuevo malware de robo de credenciales de Microsoft Exchange podría ser peor que el phishing

Mientras buscaba vulnerabilidades de Exchange adicionales a raíz de los días cero de este año, Kaspersky encontró un complemento de IIS que recopila credenciales de OWA cuando y dondequiera que alguien inicie sesión.

stevanovicigor, Getty Images / iStockphoto

Kaspersky ha descubierto un complemento malicioso para el software del servidor web Internet Information Service (IIS) de Microsoft que, según dijo, está diseñado para recopilar credenciales de Outlook Web Access (OWA), el cliente de correo web para Exchange y Office 365.

Apropiadamente apodado, pero discutiblemente pronunciado, Owowa, los investigadores de Kaspersky descubrieron el complemento a raíz del hackeo del servidor Exchange de marzo de 2021. «Mientras buscábamos implantes potencialmente maliciosos que tuvieran como objetivo los servidores de Microsoft Exchange, identificamos un binario sospechoso que se había enviado a un servicio de múltiples escáneres a fines de 2020», dijo Kaspersky en su anuncio del descubrimiento.

VER: Google Chrome: consejos de seguridad e interfaz de usuario que debe conocer (TechRepublic Premium)

Owowa es un complemento para IIS, que en sí mismo es un software creado para administrar servicios de servidor web que Microsoft describe como compuesto por más de 30 módulos independientes. Owowa está diseñado para instalarse en IIS y, una vez instalado, busca evidencia de que el servidor IIS en el que se encuentra es responsable de exponer el portal OWA del servidor Exchange de una empresa.

Cuando Owowa ve a OWA operando en su máquina host, registra cada inicio de sesión exitoso en Exchange a través de OWA mediante la detección de tokens de autenticación. Si detecta uno, Owowa almacena el nombre de usuario, la contraseña, la dirección IP del usuario y la marca de tiempo en un archivo temporal cifrado con RSA.

Aquí es donde Owowa se vuelve realmente interesante: todo lo que un atacante necesita para recolectar datos es ingresar uno de los tres nombres de usuario incoherentes en OWA que en realidad son comandos. Uno devuelve el registro de credenciales codificado en base64, el segundo elimina el registro de credenciales y el tercero ejecuta cualquier comando de PowerShell que se escriba en el campo de contraseña. ¡Ay!

El que, donde, cuando, quien y como de Owowa

Para ser claros en una cosa, Owowa tiene el potencial de ser increíblemente peligroso, dijo el investigador senior de seguridad del Equipo de Investigación y Análisis Global de Kaspersky, Pierre Delcher.

«Esta es una forma mucho más sigilosa de obtener acceso remoto que enviar correos electrónicos de phishing. Además, aunque las herramientas de configuración de IIS se pueden aprovechar para detectar tales amenazas, no forman parte de las actividades estándar de monitoreo de archivos y redes, por lo que Owowa podría ser fácilmente ignorado por herramientas de seguridad «, dijo Delcher.

Esto tampoco es hipotético: se ha visto a Owowa apuntando a organizaciones gubernamentales y agencias estatales en Malasia, Mongolia, Indonesia y Filipinas, y Kaspersky dijo que probablemente también haya víctimas adicionales en Europa.

«El módulo malicioso descrito en esta publicación representa una opción efectiva para que los atacantes se afiancen firmemente en las redes objetivo persistiendo dentro de un servidor Exchange», dijo Kaspersky. Citó razones que incluyen la persistencia cuando se actualizan los servidores de Exchange, la capacidad de enviar código malicioso en solicitudes inocuas y la naturaleza completamente pasiva que elimina la confianza en la confusión del usuario para tener éxito.

Kaspersky dijo que no pudo recuperar suficientes datos para indicar que las infecciones de Owowa se utilizaron para iniciar una cadena de infección adicional o actividades posteriores a la infección. Kaspersky también dijo que no está seguro de cómo se implementó inicialmente Owowa, fuera de la posibilidad de que sus propietarios se lanzaran a los compromisos del servidor Exchange a principios de 2021.

VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (TechRepublic)

El código que Kaspersky pudo analizar de Owowa indica creatividad, dijo, pero también un toque de aficionado. «Las prácticas exhibidas por lo que probablemente sea un desarrollador sin experiencia no parecen corresponder con esa focalización estratégica», dijo Kaspersky.

Uno de esos casos de código descuidado fue el acto del creador de «ignorar las advertencias explícitas de Microsoft» sobre prácticas de desarrollo de riesgo en módulos HTTP (de los cuales Owowa es uno) que pueden bloquear servidores. Por lo tanto, es básicamente el doble de peligroso para un servidor infectado: o se roban datos o todo se desmorona.

Cómo detectar y luchar contra Owowa

Si su potencial bruto de robo de datos no detectado no es una razón suficiente para tener cuidado con Owowa, considere su potencial bruto de bloquear sus servidores Exchange o IIS como otra razón para tomar las precauciones adecuadas.

Kaspersky hace las siguientes cuatro recomendaciones para protegerse de Owowa y amenazas similares:

Compruebe todos los módulos IIS en los servidores IIS expuestos con regularidad, especialmente si ese servidor IIS se ocupa de Exchange. Concéntrese en detectar movimientos laterales y exfiltración de datos a Internet. Preste especial atención al tráfico saliente y cree copias de seguridad periódicas a las que se pueda acceder fácilmente.
Utilice un software de respuesta y detección de endpoints de confianza para identificar y detener los ataques desde el principio.
Utilice un software de seguridad de endpoints de confianza con motores de prevención de exploits, detección de comportamientos y reparación que pueden revertir las acciones maliciosas.

Si tiene curiosidad por detectar infecciones de Owowa, el informe completo de Kaspersky contiene pasos sobre el uso de appcmd.exe o la herramienta de configuración ISS para buscar e identificar Owowa y otros módulos maliciosos.

Ver también