En los últimos días la compañía de Redmond es noticia para bien y para mal. Como se suele decir en estos casos, da una de cal y una de arena y en este caso la que toca es arena. Han detectado un problema de seguridad en los servidores de Microsoft Outlook Web App que ha provocado el robo de unos 11.000 credenciales.
Lo que más sorprende es que este tipo de ataques se suele realizar en los equipos de los usuarios finales, y no en los de las compañías que prestan el servicio. Según la información vertida, los ciberdelincuentes habían subido al servidor un archivo DLL malicioso que llevaba a cabo el descifrado de las comunicaciones HTTPS entre los extremos, obteniendo de esta manera la información y justificando el robo de los usuarios y las contraseñas de al menos 11.000 usuarios, y hacemos hincapié en «al menos» porque esa es la cifra facilitada por la compañía, y ya se sabe que en estos casos se tiende a tirar a la baja. Conoce nuestro tutorial para hackear el WiFi de cualquier router.
El archivo es el OWAAUTH.dll y los ciberdelincuentes han sustituido al original por este otro que estaba equipado con una puerta trasera. Teniendo en cuenta que este participa de forma activa en el proceso de autenticación de los usuarios, es entendible el porqué se han tomado esta molestia de modificarlo y sustituir legítimo: les otorgaba la capacidad de recopoilar información de una forma muy sencilla.
Los usuarios que están afectados por el problema ya han sido advertidos por la compañía del problema de seguridad sufrido y se obliga a modificar la contraseña de acceso para evitar que la cuenta sea secuestrada.
Para hackear los servidores de Microsoft Outlook Web App se utilizó una caché de .NET
Expertos en seguridad han comenzado la tarea de encontrar el motivo que ha provocado este acceso no autorizado y lo más importante: que las personas que monitorizan los servidores no se diesen cuenta de este. Según se ha sabido, los atacantes utilizaron una caché utilizado por .NET para llevar a cabo las operaciones y no levantar sospechas. También se ha sabido que los ciberdelincuentes crearon un filtro en IIS (servidor web) para que la DLL se cargase cada vez que se reiniciase el sistema.
Se desconoce cuánto tiempo se han aprovechado de esta puerta trasera introducida pero algunas fuentes afirman que el suceso podría haberse producido hace varios días, por lo que de confirmarse los daños son mínimos.
Lo que no ha trascendido (y es probable que tarde en conocerse) es cómo consiguieron los atacantes cambiar la librería dinámica legítima por la equipada con una puerta trasera.