OWOWA, il pericoloso modulo IIS individuato da Kaspersky.

In quest'ultime settimane gli esperti di sicurezza di Kaspersky hanno annunciato di aver individuato un modulo dannoso di Internet Information Services, (not anhe con la sigla IIS), che sta trasformando Outlook, (popolare servizio di posta elettronica di casa Microsoft), in uno strumento sfruttato da cybercriminali per rubare credenziali, nonché in un pannello di accesso remoto: un gruppo di hacker, infatti, hanno usato tale modulo, (che i ricercatori della società russa specializzata nella produzione di software progettati per la sicurezza informatica hanno rinominato OWOWA), per eseguire attacchi mirati. In pratica Outlook, (precedentemente noto come Exchange Web Connect; Outlook Web Access; Outlook Web App; o semplicemente OWA), è un'interfaccia basata sul Web per accedere al servizio Personal Information Manager di Microsoft; mentre l'applicazione disponibile per dispositivi mobili viene distribuita su server Web che eseguono moduli IIS. Inoltre molte aziende si servono di questo servizio di posta elettronica per fornire ai dipendenti l'accesso remoto alle caselle di posta ed ai calendari aziendali senza dover installare un client dedicato. Al riguardo in un post pubblicato sul loro blog ufficiale i ricercatori di sicurezza di Kaspersky hanno spiegato: "Ci sono diversi metodi per implementare Outlook sul Web, uno dei quali comporta l'utilizzo di Exchange Server in loco, che è quello a cui sono attratti i criminali informatici. In teoria ottenere il controllo di questa applicazione dà loro accesso a tutta la corrispondenza aziendale, insieme ad infinite opportunità per espandere il loro attacco all'infrastruttura e lanciare ulteriori campagne BEC". Ad ogni modo, sempre secondo quanto hanno fatto sapere gli esperti, OWOWA si carica sui server web IIS compromessi come un modulo per tutte le applicazioni compatibili, ma il suo scopo è quello di intercettare le credenziali inserite in OWA: sostanzialmente il malware controlla le richieste e le risposte su Outlook nella pagina di accesso Web, e se vede che un utente ha inserito le credenziali ed ha ricevuto un token di autenticazione in risposta, scrive il nome utente e la password in un file, (in forma cifrata). Tra l'altro OWOWA permette ai cybercriminali di controllare la sua funzionalità direttamente tramite lo stesso modulo di autenticazione: inserendo alcuni comandi nei campi del nome utente e della password, un hacker può recuperare le informazioni raccolte, cancellare il file log o addirittura eseguire comandi arbitrari sul server compromesso attraverso PowerShell; per una descrizione tecnica più dettagliata del modulo con indicatori di compromissione è possibile consultare il post pubblicato dai medesimi esperti di sicurezza su Securelist. Comunque sia fortunatamente, sempre nel suddetto post di annuncio, i responsabili di Kaspersky hanno scritto: «I nostri esperti hanno rilevato attacchi basati su OWOWA su server in diversi paesi asiatici: Malesia, Mongolia, Indonesia e Filippine. Tuttavia i nostri esperti hanno ragione di credere che i criminali informatici siano interessati anche alle organizzazioni in Europa. La maggior parte degli obiettivi erano agenzie governative, con almeno una società di trasporti, (anch'essa di proprietà statale)». Invece per quel che concerne le possibili misure di sicurezza da prendere contro questo pericoloso modulo hanno, infine, concluso spiegando: «Potete usare il comando appcmd.exe, o il normale strumento di configurazione di IIS, per rilevare il modulo dannoso OWOWA, (o qualsiasi altro modulo IIS di terze parti), sul server web IIS. Tenete a mente, tuttavia, che qualsiasi server rivolto ad Internet, come qualsiasi computer, ha bisogno di protezione».