Nueva forma de vulnerar servidores OWA (Outlook Web Application)

Investigadores de la firma de Seguridad Cybereason descubrieron una vulnerabilidad que afecta al servidor de correos OWA de Microsoft y que permite a un atacante infectar una librería DLL encargada de la autenticación de usuarios, con el fin de obtener sus credenciales.

El descubrimiento lo realizaron luego que uno de sus clientes los llamara para revisar su servidor de correos OWA, porque presentaba un comportamiento extraño. Luego de analizar el servidor, verificaron que se encontraba intervenido hace meses y la compañía afectada no tenía conocimiento de eso hasta ahora. Se estima que unas 11.000 cuentas de correo fueron vulneradas.

El atacante utilizó una versión maliciosa de la librería OWAAUTH.dll que es usada por OWA como parte del mecanismo de autenticación de su servicio y también es responsable de la autenticación contra el servidor de dominio (Active Directory) usado en la red del cliente. Además esta librería aplicó en el servidor, un filtro ISAPI que filtraba las solicitudes HTTP/HTTPS, permitiéndole al atacante acceder a la información en texto plano, justo después que ocurriera el descifrado SSL/TLS. Y para no perder acceso al sistema, la librería se cargaba como un modulo del servidor, ejecutándose al inicio del sistema en caso que este se reiniciara.

Si bien no se tienen detalles de como el atacante logró reemplazar la librería OWAAUTH.dll por una maliciosa, es importante mantener políticas de seguridad adecuadas para proteger servicios que son y están integrados con infraestructura crítica de una empresa como servidores de correo y dominio.