Kaspersky daha evvel bilinmeyen, Microsoft web sunucularına ek özellikler sağlamayı amaçlayan bir yazılım modülü formunda gizlenen IIS modülünü ortaya çıkardı. Kullanıcının Outlook Web Access’te (OWA) oturum açarken girdiği kimlik ayrıntılarını çalan bu modüle Owowa ismi verildi. Modül saldırganların sunucuya uzaktan denetim erişimi elde etmelerini de sağlıyor. 2020 sonu ile Nisan 2021 içinde derlenen bu modül, ağ izlemeyle tespit edilmesi güç olan zımnî bir hırsızlık usulü kullanıyor. Ayrıyeten Exchange’den gelen yazılım güncellemelerine karşı da güçlü ve aygıtta uzun mühlet kapalı kalabiliyor.
2021’de gelişmiş tehdit aktörleri, Microsoft Exchange Server’ın güvenlik açıklarından giderek daha fazla yararlanmaya başladı. Mart ayında sunuculardaki dört kritik güvenlik açığı, saldırganların kayıtlı tüm e-posta hesaplarına erişmesine ve rastgele kod yürütmesine müsaade verdi. Kaspersky uzmanları, Exchange’de potansiyel olarak ziyanlı olabilecek eklentileri ararken, saldırganların Outlook Web Access için oturum açma kimlik ayrıntılarını çalmasına ve sunucuya uzaktan erişim elde etmesine imkan tanıyan makus hedefli bir modülü ortaya çıkardı. Kaspersky, bu makûs hedefli modüle Owowa ismini verdi. Modülün yetenekleri, görünüşte zararsız istekler gönderilerek (OWA kimlik doğrulama istekleri gibi) kolaylıkla başlatılabiliyor.
Kaspersky uzmanları, modülün 2020 sonuyla Nisan 2021 içinde derlendiğine ve Malezya, Moğolistan, Endonezya ve Filipinler’deki kurbanları amaç aldığına inanıyor. Kurbanların birden fazla devlet kurumlarıyla, bir oburu ise bir devlet nakliye şirketine bağlıydı. Avrupa’da da diğer kurbanların olması olası.
Siber hatalıların kullanıcı ismi ve parola alanlarına özel hazırlanmış komutları girmek için sırf güvenliği ihlal edilmiş sunucunun OWA oturum açma sayfasına erişmesi yetiyor. Bu, saldırganların Exchange sunucusunda ve hedeflenen ağlarda kalıcı olarak kuvvetli bir yer edinmesinde pek tesirli oluyor.
Kaspersky araştırmacıları, Owowa’yı bilinen rastgele bir tehdit aktörüyle ilişkilendiremedi. bir daha de öbür birkaç makus maksatlı yükleyicinin ardında olabilecek bir geliştirici olan “S3crt” kullanıcı ismiyle bağlı olduğunu buldular. birebir vakitte, “S3crt”, İngilizce “gizli” sözünün sıradan bir türevine karşılık geliyor ve birden çok tehdit aktörü tarafınca kullanılabiliyor. Bu niçinle, bu makus niyetli ikili belgelerin ve Owowa’nın ilişkisinin olmaması da mümkün.
Kaspersky Küresel Research Tahlil Takımı (GReAT) Kıdemli Güvenlik Araştırmacısı Pierre Delcher şunları söylemiş oldu: “Owowa ile ilgili temel tehlike, saldırganın web hizmetlerine yasal olarak erişen kullanıcıların kimlik ayrıntılarını çalmak için bu modülü kullanabilmesidir. Bu, uzaktan erişim elde etmenin kimlik avı e-postaları göndermekten epeyce daha bâtın bir yolu. Ek olarak bu tıp tehditleri tespit etmek için IIS yapılandırma araçlarından yararlanılsa da bunlar standart belge ve ağ izleme etkinliklerinin bir kesimi değil. Bu niçinle Owowa güvenlik araçlarının gözünden basitçe kaçabilir.“
Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Paul Rascagneres de şunları ekliyor: “Owowa bir IIS modülü. Bu bununla birlikte Microsoft Exchange güncellense bile çalışmaya devam ettiği manasına geliyor. Yeterli haber şu ki saldırganlar fazlaca sofistike görünmüyor. Şirketler, son derece hassas oldukları ve tüm kurumsal e-postaları içerdiği için Exchange sunucularını dikkatle yakından izlemeli. Ayrıyeten çalışan tüm modülleri kritik olarak değerlendirmenizi ve bunları tertipli olarak denetim etmenizi öneririz.”
Owowa hakkındaki raporun tamamını Securelist’te okuyabilirsiniz
Kendinizi bu çeşit tehditlerden korumak için Kaspersky şunları önerir:
2021’de gelişmiş tehdit aktörleri, Microsoft Exchange Server’ın güvenlik açıklarından giderek daha fazla yararlanmaya başladı. Mart ayında sunuculardaki dört kritik güvenlik açığı, saldırganların kayıtlı tüm e-posta hesaplarına erişmesine ve rastgele kod yürütmesine müsaade verdi. Kaspersky uzmanları, Exchange’de potansiyel olarak ziyanlı olabilecek eklentileri ararken, saldırganların Outlook Web Access için oturum açma kimlik ayrıntılarını çalmasına ve sunucuya uzaktan erişim elde etmesine imkan tanıyan makus hedefli bir modülü ortaya çıkardı. Kaspersky, bu makûs hedefli modüle Owowa ismini verdi. Modülün yetenekleri, görünüşte zararsız istekler gönderilerek (OWA kimlik doğrulama istekleri gibi) kolaylıkla başlatılabiliyor.
Kaspersky uzmanları, modülün 2020 sonuyla Nisan 2021 içinde derlendiğine ve Malezya, Moğolistan, Endonezya ve Filipinler’deki kurbanları amaç aldığına inanıyor. Kurbanların birden fazla devlet kurumlarıyla, bir oburu ise bir devlet nakliye şirketine bağlıydı. Avrupa’da da diğer kurbanların olması olası.
Siber hatalıların kullanıcı ismi ve parola alanlarına özel hazırlanmış komutları girmek için sırf güvenliği ihlal edilmiş sunucunun OWA oturum açma sayfasına erişmesi yetiyor. Bu, saldırganların Exchange sunucusunda ve hedeflenen ağlarda kalıcı olarak kuvvetli bir yer edinmesinde pek tesirli oluyor.
Kaspersky araştırmacıları, Owowa’yı bilinen rastgele bir tehdit aktörüyle ilişkilendiremedi. bir daha de öbür birkaç makus maksatlı yükleyicinin ardında olabilecek bir geliştirici olan “S3crt” kullanıcı ismiyle bağlı olduğunu buldular. birebir vakitte, “S3crt”, İngilizce “gizli” sözünün sıradan bir türevine karşılık geliyor ve birden çok tehdit aktörü tarafınca kullanılabiliyor. Bu niçinle, bu makus niyetli ikili belgelerin ve Owowa’nın ilişkisinin olmaması da mümkün.
Kaspersky Küresel Research Tahlil Takımı (GReAT) Kıdemli Güvenlik Araştırmacısı Pierre Delcher şunları söylemiş oldu: “Owowa ile ilgili temel tehlike, saldırganın web hizmetlerine yasal olarak erişen kullanıcıların kimlik ayrıntılarını çalmak için bu modülü kullanabilmesidir. Bu, uzaktan erişim elde etmenin kimlik avı e-postaları göndermekten epeyce daha bâtın bir yolu. Ek olarak bu tıp tehditleri tespit etmek için IIS yapılandırma araçlarından yararlanılsa da bunlar standart belge ve ağ izleme etkinliklerinin bir kesimi değil. Bu niçinle Owowa güvenlik araçlarının gözünden basitçe kaçabilir.“
Kaspersky GReAT Kıdemli Güvenlik Araştırmacısı Paul Rascagneres de şunları ekliyor: “Owowa bir IIS modülü. Bu bununla birlikte Microsoft Exchange güncellense bile çalışmaya devam ettiği manasına geliyor. Yeterli haber şu ki saldırganlar fazlaca sofistike görünmüyor. Şirketler, son derece hassas oldukları ve tüm kurumsal e-postaları içerdiği için Exchange sunucularını dikkatle yakından izlemeli. Ayrıyeten çalışan tüm modülleri kritik olarak değerlendirmenizi ve bunları tertipli olarak denetim etmenizi öneririz.”
Owowa hakkındaki raporun tamamını Securelist’te okuyabilirsiniz
Kendinizi bu çeşit tehditlerden korumak için Kaspersky şunları önerir:
- Açıkta kalan IIS sunucularında (özellikle Exchange sunucularında) yüklü IIS modüllerini tertipli olarak denetim edin ve IIS sunucu paketindeki mevcut araçlardan yararlanın. Microsoft sunucu mamüllerinde büyük bir güvenlik açığı duyurulduğunda, tehdit avı etkinliklerinin bir modülü olarak bu çeşit modülleri denetim edin.
- Savunma stratejinizi içerideki hareketleri ve internete data sızmasını tespit etmeye odaklayın. Siber hatalı ilişkilerini tespit etmek için giden trafiğe bilhassa dikkat edin. Bilgilerinizi nizamlı olarak yedekleyin. Acil bir durumda yedeklere süratlice erişebildiğinizden emin olun.
- Saldırganlar amaçlarına ulaşmadan evvel, saldırıyı erken kademelerde belirlemeye ve durdurmaya yardımcı olan Kaspersky Endpoint Detection and Response ve Kaspersky Managed Detection and Response hizmeti üzere tahlilleri kullanın.
- Berbat gayeli aksiyonları geri alabilen, berbata kullanım tedbire, davranış algılama ve düzeltme motoruyla desteklenen Kaspersky Endpoint Security for Business üzere muteber bir uç nokta güvenlik tahlili kullanın. KESB ayrıyeten siber hatalılar tarafınca kaldırılmasını engelleyebilecek savunma sistemlerine da sahiptir.