Обнаружена атака, использующая Outlook Web Application

Обнаружена атака, использующая Outlook Web Application

Специалисты компании Cybereason опубликовали отчет об интересном случае. Компания-клиент Cybereason, чье название не раскрывается, столкнулась с хитроумным взломом. Атакующие проникли в сеть фирмы через почтовый web-сервер Microsoft Outlook Web App и оставались незамеченными в течение нескольких месяцев.

Компания, насчитывающая более 19 000 сотрудников, обратилась за помощью к специалистам Cybereason, после обнаружения в своей сети ряда аномалий. Эксперты взялись за расследование, инициировали проверку сети и уже через несколько часов обнаружили подозрительный DLL-файл, размещенный на почтовом сервере Outlook Web Application (OWA). Хотя имя файла OWAAUTH.dll совпадало с именем настоящего DLL, который и должен находиться в системе, эта версия, в отличие от оригинала, не имела подписи и лежала не в той директории, передает xakep.ru.

Выяснилось, что OWAAUTH.dll содержит бекдор. Вредоносный DLL работал на OWA-сервере, а значит, имел доступ к HTTPS-запросам, притом уже после их расшифровки. В результате атакующие сумели похитить буквально все пароли и логины людей, обращавшихся к данному серверу. В зашифрованном файле log.txt, хранившемся на сервере в корневой директории диска C:\, эксперты обнаружили логины и пароли 11 000 сотрудников. Очевидно, log.txt использовался атакующими для хранения данных.

Чтобы вредоносный DLL не исчезал при каждой перезагрузке сервера, хакеры также установили ISAPI-фильтр на IIS-сервер, который не только фильтровал HTTP-запросы, но и загружал OWAAUTH.dll обратно. Малварь позволяла хакерами писать и исполнять команды на SQL-серверах, и исполнять произвольный код на самом OWA-сервере.

«В данном случае конфигурация OWA-сервера позволяла получить доступ к нему из интернета. Это позволило хакерам взять под пристальный контроль всю организацию, при этом оставаясь незамеченными на протяжении нескольких месяцев», — рассказывают специалисты Cybereason в блоге.

Эксперты Cybereason не уточняют, является ли данная атака «штучной работой», направленной против конкретной компании, или аналогичная техника может применяться (возможно, уже применяется) и в других случаях, связанных с корпоративным шпионажем.

DLP-система Стахановец получила сертификат ФСТЭК по 4-му уровню доверия

Компания «Стахановец» получила сертификат соответствия ФСТЭК России на свой программный комплекс для защиты данных от утечек. Речь идет о сертификате №5078 по 4-му уровню доверия. Такой уровень подтверждает, что DLP-система соответствует требованиям ФСТЭК к средствам защиты информации.

После сертификации продукт может применяться в организациях с повышенными требованиями к информационной безопасности, включая государственные информационные системы и объекты критической информационной инфраструктуры.

В компании отметили, что подготовка к сертификации заняла больше года. За это время программный комплекс проходил проверку независимыми лабораториями — оценивались как безопасность и эффективность самого продукта, так и процессы его разработки.

По словам CEO «Стахановца» Дмитрия Исаева, получение сертификата стало подтверждением того, что система может использоваться в средах, где к защите данных предъявляются строгие требования.

Сертификат ФСТЭК стал не единственным документом в портфеле компании. «Стахановец» также имеет действующую лицензию ФСТЭК на разработку и производство средств защиты конфиденциальной информации, а сам продукт включен в Единый реестр российского программного обеспечения Минцифры.

Таким образом, DLP-система получила официальный статус, необходимый для использования в более чувствительных инфраструктурах, где важны не только функции контроля утечек, но и подтвержденное соответствие регуляторным требованиям.

RSS: Новости на портале Anti-Malware.ru