Molte realtà hanno la cattiva abitudine di amministrare le proprie infrastrutture direttamente da Internet, esponendo interfacce amministrative direttamente nel cyberspazio e così facendo esponendosi alle potenziali ed inevitabili conseguenze. 

È quello che è stato possibile per un lungo periodo e su differenti versioni (dalla 2010 alla 2019 upd 4) di Microsoft Exchange Server per la vulnerabilità CVE-2020-0688 (di cui Microsoft ha rilasciato correzione nel febbraio del 2020) quando si rendesse esposto Exchange Control Panel (ECP, uno degli strumenti amministrativi Web che si sono susseguiti nella storia evolutiva di Exchange). Questo poteva rendere possibile, mediante la precedente vulnerabilità (Microsoft Exchange Memory Corruption Vulnerability), di ottenere una remota code execution (RCE). 

La medesima strategia è stata ora utilizzata in un nuovo attacco sviluppato a partire dall’esecuzione remota di uno script PowerShell capace di impiantare un modulo per Internet Information Services (IIS, la suite di software per server Web/hosting Web di Microsoft) con finalità malevole: OWOWA. 

Gli agenti di minaccia potrebbero aver sfruttato questa volta tecniche come 

ProxyLogon che, utilizzando differenti vulnerabilità (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065), consente una RCE prima dell’autenticazione, oppure ProxyShell, anche questa risultante in una RCE attraverso differenti vulnerabilità (CVE-2021-34473, CVE-2021-34523, and CVE-2021-31207). 

Scopo di OWOWA è quello di costituire un potente strumento per il furto di credenziali e per l’accesso remoto attraverso Outlook sul Web (precedentemente noto come Exchange Web Connect, Outlook Web Access e Outlook Web App o semplicemente OWA). 

Il modulo è un assembly C# sviluppato appositamente per un IIS che esegua l’applicazione OWA: gli esperti di Kaspersky attribuiscono però agli sviluppatori caratteristiche lontane del classico gruppo APT, in quanto hanno lasciato molte informazioni sull’ambiente di sviluppo utilizzato ed inoltre hanno dimostrato capacità da principianti contravvenendo alle più basilari avvertenze di Microsoft riguardo alle metodologie di sviluppo dei moduli IIS, esponendo il modulo al rischio di essere causa di arresti anomali del server. Tra le tracce lasciate si è potuto quindi rilevare la data di compilazione del modulo stesso (tra la fine 2020 e aprile 2021), medesimo periodo del rilevamento delle vulnerabilità ProxyLogon: quale straordinaria coincidenza. 

Dal punto di vista dell’identificazione della minaccia, rilevare questo e altri moduli malevoli è possibile per gli amministratori mediante strumenti di configurazione ordinari di IIS oppure attraverso il comando “appcmd.exe list modules”; purtroppo però questa attività non è parte dell’ordinario arsenale di difesa o di telemetria, e questo rende difficile il rilevamento, che deve essere dunque eseguito mirando esattamente alla presenza di tale modulo. 

Il suo comportamento in rete inoltre è in apparenza assolutamente innocuo, mascherandosi nelle richieste e risposte con il server IIS, nella fattispecie richieste di autenticazione OWA. Tramite queste richieste infatti il modulo realizza tutte le sue finalità. La prima: il furto di credenziali attraverso il monitoraggio dell’autenticazione (con successo) operata dagli utenti; la seconda: eseguire compiti impartiti remotamente attraverso i campi di autenticazione (esempio: se il nome utente OWA è dEUM3jZXaDiob8BrqSy2PQO1, verrà eseguito codice PowerShell posto nel campo della password sul server compromesso). 

Attualmente OWOWA è stato visto in azione sui server di differenti paesi asiatici (Malesia, Mongolia, Indonesia e Filippine), nella maggior parte dei casi appartenenti ad agenzie governative o aziende di stato. Nulla però fa credere che l’Europa possa rimanere immune dall’attenzione rispetto a questo tipo di attacchi. 

Tweet