{"id":393,"date":"2015-10-07T12:55:12","date_gmt":"2015-10-07T17:55:12","guid":{"rendered":"https:\/\/cert.pa\/?p=393"},"modified":"2015-10-12T08:36:10","modified_gmt":"2015-10-12T13:36:10","slug":"webmail-server-apt-para-microsoft-outlook-web-app-owa-permitio-robo-de-contrasenas","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=393","title":{"rendered":"Webmail Server APT para Microsoft Outlook Web App (OWA) permitio robo de contrase\u00f1as"},"content":{"rendered":"<p>Investigadores <a href=\"http:\/\/www.cybereason.com\/#masonry-latest-posts\" target=\"_blank\" rel=\"nofollow\">Cybereason han encontrado<\/a> una peligrosa puerta trasera y APT instalada en algunos servidores Microsoft Outlook Web aplicaci\u00f3n (OWA) que ha permitido a los delincuentes robar credenciales de autenticaci\u00f3n de correo electr\u00f3nico de las organizaciones. <b>Es importante se\u00f1alar que este archivo no corresponde a una distribuci\u00f3n oficial de Microsoft, sino a un archivo externo e instalado por los atacantes de forma persistente.<\/b><\/p>\n<p>Los investigadores descubrieron un archivo DLL sospechosa en algunos servidor OWA de algunas compa\u00f1\u00edas. Este archivo permit\u00eda descifrar conexiones HTTPS desde el servidor. Aunque el archivo ten\u00eda el mismo nombre que otra DLL benigna, el archivo sospechoso no estaba firmado y se carga desde otro directorio.<br \/>\nSeg\u00fan la empresa de seguridad, los atacantes sustituyen el archivo <i>OWAAUTH.dll<\/i> (utilizado por OWA como parte del mecanismo de autenticaci\u00f3n) por uno que conten\u00eda una puerta trasera. El archivo <i>backdoored<\/i> permiti\u00f3 a los atacantes leer todas las peticiones HTTPS de los servidores afectados, incluyendo informaci\u00f3n de inicio de sesi\u00f3n.<\/p>\n<p><i>&#8220;Este ataque permiti\u00f3 a los delincuentes establecer control persistente sobre distintas organizaciones sin ser detectados durante varios meses y robar m\u00e1s de 11.000 credenciales&#8221;<\/i> <a href=\"http:\/\/go.cybereason.com\/rs\/996-YZT-709\/images\/Cybereason-Labs-Analysis-Webmail-Sever-APT.pdf\" target=\"_blank\" rel=\"nofollow\">dijo la empresa en su blog<\/a> [PDF].<\/p>\n<p>Los investigadores descubrieron m\u00e1s de 11.000 combinaciones de nombres de usuario y contrase\u00f1as en un archivo <i>log.txt<\/i> en el servidor utilizado por los atacantes para almacenar todos los datos registrados.<\/p>\n<p>Para evitar la detecci\u00f3n de esta puerta trasera, los atacantes tambi\u00e9n crearon un filtro en IIS a trav\u00e9s del cual se cargaba el archivo malicioso <i>OWAAUTH.dll<\/i> cada vez que se reiniciaba el servidor. Los atacantes adem\u00e1s utilizaron ensamblados de .NET para evitar inspecciones de seguridad.<\/p>\n<p>&nbsp;<\/p>\n<p>Fuente:\u00a0segur-info.com.ar<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Investigadores Cybereason han encontrado una peligrosa puerta trasera y APT instalada en algunos servidores Microsoft Outlook Web aplicaci\u00f3n (OWA) que ha permitido a los delincuentes robar credenciales de autenticaci\u00f3n de correo electr\u00f3nico de las organizaciones&#8230;.<\/p>\n","protected":false},"author":5,"featured_media":394,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[3],"tags":[34,35],"class_list":["post-393","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia-y-seguridad","tag-noticias","tag-owa"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/393","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=393"}],"version-history":[{"count":2,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/393\/revisions"}],"predecessor-version":[{"id":396,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/393\/revisions\/396"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/394"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=393"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=393"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=393"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}