Pawn Storm: Erstaunlich simpler Angriff über Outlook Web Access

Originalartikel von Feike Hacquebord, Senior Threat Researcher

Der kürzlich veröffentlichte Report “Operation Pawn Storm” beschreibt eine Operation mit drei Angriffsszenarien. Eines davon beinhaltet Phishing-E-Mails, die mit Tippfehlern versehene (Typo Squatting) Domänen nutzen und ihre Opfer auf gefälschte Outlook Web Access (OWA)-Anmeldeseiten umleiten. Interessant daran, es ist eine einfache, effiziente, einfach zu wiederholende Methode: Mit nur einer simplen Zeile Javascript-Code können Millionen von OWA-Nutzern zu potenziellen Opfern eines schlauen, und dennoch einfachen Phishing-Angriffs werden.

Keine Exploits und keine Sicherheitslücken sind erforderlich. Die Kriminellen nutzen eine Funktionalität von Javascript, das Vorschau-Fenster von OWA, und zwei mit Tippfehlern verseheneDomänen. Auf diese Art wurden US-amerikanische Firmen wie Academi (früher als Blackwater bekannt), SAIC und die OSCE angegriffen.

Funktionsweise

Für den Angriff auf Academi registrierten die Angreifer zwei Domänennamen mit Typo Squatting:

  1. tolonevvs[dot]com (tatsächliche Nachrichten-Domäne: tolonews.com (Nachrichten über Afghanistan))
  2. academl[dot]com (tatsächliche Firmendomäne: academi.com)

Ein Link auf die Domänen mit Typo Squatting wird über Spear-Phishing-Mails an Academi geschickt – und zwar an nur wenige ausgewählte Mitarbeiter, die tatsächlich Mail-Nachrichten von tolonews.com erwarten konnten. Öffnet das Opfer die Mail über das Preview-Fenster in OWA und klickt auf die gefälschte Domäne, öffnet sich ein neuer Tab, der die Original-Site lädt. Aus Opferperspektive sieht der Browser folgendermaßen aus.


Bild 1. Die tatsächlichen Nachrichten-Site öffnet sich in einem neuen Tab, nachdem ein Opfer auf die gefälschte Domäne geklickt hat.

Dies mag harmlos erscheinen, doch da steckt mehr dahinter als lediglich ein geöffneter Tab mit einer Nachrichten-Site. Die Domäne tolonevvs.com mit Typo Squatting enthält einen leicht entstellten Javascript-Code.


Bild 2. Javascript-Code in der gefälschten Domäne tolonevvs.com

Dies JavaScript ist nicht bösartig, es setzt lediglich die Windows Open-Property mit Zeiger auf eine URL.

window.opener.location = “hxxps://mail[dot] academl[dot]com/owa/auth/logon.aspx?replaceCurrent=1&url=https%3a%2f%2fmail.academi.com%2fowa%2f&tids=lkdmfvlkd”

Das bedeutet, dass die legitime URL der ursprünglichen OWA-Sitzung im ersten Tab des Browsers auf die URL des gefälschten OWA-Servers gesetzt wird, den der Angreifer im aktuellen Fall auf mail[dot]academl[dot]com gesetzt hatte. Sobald das Opfer die Nachrichten verlässt und zu seiner OWA-Sitzung zurückkehrt, sieht es folgendes:


Bild 3. Geöffnete Phishing Site im Original OWA-Tab

Zu diesem Zeitpunkt wird das Opfer wahrscheinlich denken, der OWA-Server habe es ausgeloggt, während es die Nachrichten von tolonews.com gelesen hatte. Tatsächlich aber wird der Angreifer die Anmeldedaten auslesen, sobald der Nutzer diese eingibt, um sich wieder anzumelden.

Nicht auf PAWN oder OWA beschränkt

Auch wenn die Bedrohungsforscher diese Technik in einem bestimmten Aktion beobachtet haben, kann im Grunde genommen jedes Unternehmen, das einen OWA-Webserver hat, Gefahr laufen, Opfer dieser Art von Phishing-Angriffe zu werden. Auch eine Zwei-Faktorauthentifizierung verhindert nicht unbedingt das einmalige komplette Herunterladen der Mailbox des Opfers. Das hat der Angriff auf OSCE gezeigt, die eine solche Mehrfachauthentifizierung einsetzten. Der Angreifer kann ein Opfer auffordern, einen vorläufigen Token für ihn zu generieren. Ein VPN-Zugang erschwert den Angreifern die Aufgabe erheblich, doch viele Unternehmen fordern keine Anmeldung für das VPN. Einen wirklichen Schutz davor bietet nur das Abschalten des Previews in OWA.

Auch die Nutzer anderer Maildienste sind in Gefahr. Beispielsweise hat das Bedrohungsteam von Trend Micro festgestellt, dass Gmail-Nutzer, die ihre Mails in Safari lesen, oder die Yahoo-Mailnutzer, die Safari oder Firefox verwenden, können ebenfalls solchen Angriffen zum Opfer fallen.

Bei der Kompromittierung von Regierungs-Sites in Polen nutzten die Angreifer ein Exploit Kit und eine interessante Technik, die einer Masseninfektionstechnik ähnelt. Doch lassen die Angreifer die Opfer des Exploit Kits erst Details zum Betriebssystem, Spracheinstellungen, installierter Software, Zeitzonen usw. hochladen, bevor sie den tatsächlichen Exploit anwenden. So wird die Payload nur auf einer eingeschränkten Zahl von Systemen installiert.

Weitere Details sind im Report „Operation PAWN Storm“ zu finden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*