Güvenlik araşıtırmacıları saldırganların kurumsal kimlik bilgilerini çalmasına olanak veren yeni bir webmail sunucu saldırısı tespit etti. Cybereason güvenlik şirketinin araştırmacılarının vardığı sonuca göre, zararlı bir dinamik link kütüphanesi (DLL) kullanılarak kurumların Outlook Web Uygulamasına (OWA) yerleştirilen yazılım sayesinde saldırganlar çalışanların kullanıcı adı ve şifre bilgilerine erişim sağlayabilecek verileri elde ediyor.
Daha önce kullanılmayan bir yönteme başvurulduğunu ortaya çıkaran güvenlik uzmanları, zararlı bir DLL dosyasını 19.000 kullanıcısı olan sistemi tarayıp gözetledikten sonra tespit edebildiler. Zararsız DLL ile aynı isme sahip olmasına rağmen, dosyanın kaynağının bulunmaması ve farklı bir dizinden yüklenmiş olması zararlı DLL’in bulunmasına yol açtı. Web arayüzü olan diğer sunucuların aksine OWA internetle bağlantılı bir altyapıya sahip. Bu durum korunduğu düşünülen DMZ (Demilitarized Zone) ile web arasında bir aracı olmasını sağlıyor.
Saldırının hedefindeki şirket Outlook’a uzaktan erişim sağlamak için OWA sunucusunu kullanıyor. OWA platformuna erişim için kullanılan kimlik bilgileri alındığında, sunucuya giren bir saldırgan bütün kurumdakilerin hesap giriş bilgilerini ele geçirebiliyor. Araştırmacılara göre OWA’nın bu kurulumu, sunucuyu ideal bir saldırı noktası haline getiriyor.
Hackerlar aynı zamanda HTTP girişlerini filtrelemelerini sağlayan bir yöntem kullandılar. Böylece her sunucu başlatıldığında zararlı yazılım kendini yükleyerek kimlik bilgilerini saldırganlara iletiyordu.
Tripwire güvenlik analisti Ken Westin, bu saldırının kritik noktaların korunmasında son derece hassas olunması gerektiğini kanıtladığını belirtti. Kuruluşların son kullanıcı hareketlerine dikkat etmesi gerektiğini, gözden kaçan olağandışı bir durumun bütün sistemin ihlal edilmesine sebep olabileceğini söyleyen Westin aynı zamanda bu gibi kimlik bilgilerini içeren mail sunucuları ve veri tabanları herhangi bir değişiklik için dikkatlice incelenmesinin, gerekirse ek güvenlik sistemleri koyulmasının şart olduğunu savundu. IT ve güvenlik departmanlarının böyle bir değişim olduğunda hemen uyarılması ve bu eylemin potansiyel zararlı yazılım olup olmadığı hemen değerlendirilmesi gerektiğini ekledi.
Westin’e göre, tehdit istihbaratı şirketlere belirli bir saldırı girişiminin önceden yaşanıp yaşanmadığını haber verir fakat şirketlerin daha önce kullanılmayan yeni tehditlere karşı savunma yapabilmek için güçlü bir güvenlik istihbaratına ihtiyacı vardır.
HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ
[wysija_form id=”2″]
