Un malware llamado “Owowa” se instala como un módulo del IIS web server de Microsoft Exchange Outlook Web Access, quepermitiría a un atacante acceder a información confidencial alojada en el servidor y realizar ejecución remota de código en el mismo.
El malware valida las peticiones de la página de inicio de sesión en la web, al detectar que un usuario ha iniciado sesión exitosamente, escribe el nombre de usuario y contraseña en un archivo cifrado. Así también utiliza el módulo IIS instalado como backdoor con el objetivo de ocultar el ataque y mantener el acceso para posteriores acciones. Finalmente, los atacantes ingresando ciertos comandos mediante el mismo formulario de autenticación, podrían recuperar la información robada, eliminar el archivo de registro o ejecutar comandos arbitrarios en el servidor comprometido mediante PowerShell.
Se recomienda eliminar el módulo llamado ExtenderControlDesigner utilizando el comando “appcmd.exe” o el IIS Configuration Tool, tal como se muestra aquí. Adicionalmente se recomienda comprobar periódicamente los módulos IIS en búsqueda de signos de movimiento lateral en la red y mantener activadas las medidas de seguridad de los endpoints.
Referencias:
- https://securelist.com/owowa-credential-stealer-and-remote-access/105219/
- https://www.kaspersky.com/blog/owowa-weaponizing-web-mail-outlook/43145/
- https://vpnoverview.com/news/hackers-target-microsoft-exchange-and-aim-to-steal-credentials/
- https://www.kaspersky.com/about/press-releases/2021_hidden-parasite-kaspersky-uncovers-credential-stealing-microsoft-exchange-add-on
- https://www.bleepingcomputer.com/news/security/hackers-steal-microsoft-exchange-credentials-using-iis-module/