Siber korsanların kurumsal kimlik bilgilerini çalmasına olanak veren yeni bir webmail sunucu saldırısı tespit edildi. Cybereason güvenlik şirketinin araştırmacılarının yaptığı açıklamaya göre, zararlı bir dinamik link kütüphanesi (DLL) kullanılarak sistemlerin Outlook Web Uygulamasına (OWA) yerleştirilen kötücül yazılım ile saldırganlar sistme kayıtlı kullanıcı adı ve şifre bilgilerine erişim sağlayabilecek verileri elde ediyor.

Daha önce kullanılmayan bir yönteme başvurulduğunu ortaya çıkaran güvenlik uzmanları, zararlı bir DLL dosyasını 19.000 kullanıcısı olan sistemi tarayıp gözetledikten sonra tespit edebildiler. Zararsız DLL ile aynı isme sahip olmasına rağmen, dosyanın kaynağının bulunmaması ve farklı bir dizinden yüklenmiş olması zararlı DLL’in bulunmasına yol açtı. Web arayüzü olan diğer sunucuların aksine OWA internetle bağlantılı bir altyapıya sahip. Bu durum korunduğu düşünülen DMZ (Demilitarized Zone) ile web arasında bir aracı olmasını sağlıyor.

Saldırının hedefindeki şirketler Outlook’a uzaktan erişim sağlamak için OWA sunucusunu kullanıyor. OWA platformuna erişim için kullanılan kimlik bilgileri alındığında, sunucuya giren bir saldırgan sisteme kayıtlı bütün kullanıcıların hesap bilgilerini ele geçirebiliyor. Araştırmacılara göre OWA’nın bu kurulumu, sunucuyu ideal bir saldırı noktası haline getiriyor.