Я с уважением отношусь к компаниям, чья основная деятельность сосредоточена на информационной безопасности, поскольку благодаря их усилиям важные ИТ-системы надежно защищены от поползновений злоумышленников. Результаты их исследований лежат в основе инновационных технологий, предназначенных для обнаружения, локализации и обезвреживания различного рода угроз. Их работа осложняется еще и тем, что задачи, которые порой приходится решать, человеку неподготовленному кажутся просто непостижимыми. И нет ничего удивительного в том, что любая компания, добившаяся в этой сфере каких-либо ощутимых успехов, старается получить максимально возможную выгоду от своих разработок. К сожалению, недавняя публикация компании Cybereason о возможной атаке на OWA, видимо, послужила скорее поводом воспользоваться громким заголовками и количеством просмотров, нежели рассказать о действительно интересных технологиях, которые здесь, по сути, были отодвинуты на второй план.
Я уже писал об отчете, выпущенном Cybereason, согласно которому взломщику удалось получить около 11 000 наборов (имя пользователя/пароль) пользовательских учетных данных посредством внедрения в сервер Exchange зараженного файла OWAAUTH.DLL. По этому поводу, естественно, возникли бурные дебаты, после чего Cybereason изволила дать комментарии к первой публикации. Я, возможно, и ответил бы кратко, но емко, что думаю по поводу этих комментариев, однако, как мне кажется, тема требует более глубокого изучения. Тем более что Cybereason продолжает повсюду трубить о своем достижении в связи с этой «атакой OWA».
В комментариях представители Cybereason пишут, что я неверно понял их послание. А утверждают они буквально следующее: «Нами было четко указано, что это был анализ вредоносного программного обеспечения, а не отчет об уязвимости. Как мы и писали в своей статье, в ходе атаки не использовалась какая-либо существующая в OWA уязвимость. Речь здесь вовсе не идет о том, что мы обнаружили какое-то новое направление атаки на OWA».
Утверждение Cybereason о том, что Active Directory по-прежнему остается первоочередной целью для всех хакеров, соответствует истине. Также я весьма рад тому, что специалисты Cybereason все же признали тот факт, что ими не было обнаружено никакое новое направление атаки на OWA. На самом деле ситуация с файлом OWAAUTH.DLL была изложена еще в отчете компании DELL SecureWorks от 5 августа 2015 года, где дается следующее описание данной угрозы:
«Веб-оболочка OwaAuth — это веб-модуль, похититель учетных данных, который внедряется на сервер Microsoft Exchange. Устанавливается он, как фильтр ISAPI. Захваченные учетные данные шифруются посредством DES с паролем «12345678» и записываются в файл log.txt в корневом каталоге».
Далее в отчете DELL говорится, что загрузка зараженного файла OWAAUTH. DLL производится процессом IIS w3wp.exe.
Очевидно, что, с учетом сказанного, Cybereason должна была презентовать свой отчет общественности, например так: «Мы обнаружили одну хорошо известную угрозу». Но не тут-то было. Чего стоят одни только заголовки, которые посыпались после публикации Cybereason:
New attack targeting Microsoft Outlook Web App (OWA) to steal email passwords;
New OWA attack steals Outlook passwords;
Microsoft Outlook Web App Vulnerable to Password Hacking via «Backdoor»;
Outlook mailserver attack steals massive number of passwords…
И так далее в том же духе. Все эти примеры позаимствованы из результатов поиска «навскидку» в Google, и они дают наглядное представление о том, волну каких именно откликов породил этот отчет. Что ж, PR-компания Cybereason удалась на славу: их отчет «подхватили» все, кто только мог, и теперь Cybereason вполне может быть, цитирую: «восхищена тем, какой широкий отклик в прессе мы получили после публикации о нашем недавнем открытии».
А теперь спросите себя, если это был не «отчет об уязвимости», то почему все дальнейшие публикации в прессе сосредоточилась именно на OWA, без малейшего упоминания о том, что нет никакого нового направления для атак на OWA (это правда, поскольку DELL уже давно описала направление для атаки). Ответ на этот вопрос кроется в самом тексте и структуре первоначального отчета, ведь любой читатель может легко впасть в заблуждение, что предполагаемая проблема кроется именно в Outlook Web App.
Не сомневаюсь, что текст мог бы получиться гораздо лучше, попади он перед публикацией к эксперту по Exchange, — по крайней мере, он не содержал бы ссылки на несуществующую в природе технологию под названием OWA Server. В своих комментариях к моему сообщению представители Cybereason вообще выдают удивительные перлы: «А что, собственно, такого особенного в этом OWA? Например, OWA всегда находится в DMZ». Это наглядно демонстрирует отсутствие понимания среды, в которой подобное направление атаки могло быть использовано и послужило бы вызовом для соответствующего эксперта. OWA (или, точнее, сервер почтовых ящиков Exchange, который обрабатывает запросы клиентов на использование Outlook Web App) далеко не всегда размещается в DMZ, а обычно как раз наоборот. По крайней мере, так было на протяжении моего 18-летнего опыта работы, с тех пор как для сервера Exchange впервые был представлен веб-клиент. Формальная позиция поддержки компании Microsoft всегда заключалась в том, что только серверы с ролью Edge могут размещаться в DMZ, а эти серверы как раз не обслуживают запросы клиентов на использование Outlook Web App.
Как только сервер размещается в DMZ, он сразу становится мишенью для атак извне. В отчете компании DELL подробно разъясняется, каким именно образом выстраивается подобного рода атака и как именно злоумышленники пытаются разместить зараженные DLL на серверах Exchange, которые им удалось выявить. Ни DELL, ни Cybereason не уточняют, какие именно версии сервера Exchange уязвимы для подобного рода атаки, однако использование сборок кэша. NET указывает на самую новую версию. И уж конечно, если атакующие вообще не смогут добраться до серверов Exchange по причине того, что они надежно защищены грамотно настроенным брандмауэром, использовать описанную уязвимость не удастся в принципе.
Ни для кого не секрет, что далеко не все серверы управляются надлежащим образом, поэтому компании Microsoft, видимо, все-таки не стоит придерживаться позиции, что атаки, подобные этим, невозможны, если система должным образом управляется, защищена и своевременно обновляется. Вместо этого Microsoft стоит сосредоточить усилия на том, чтобы устранить саму проблему, которая делает возможным заражение DLL, подобных OWAAUTH.
С полным на то основанием на компанию Cybereason обрушился поток критики со стороны сообщества Exchange. Лучше написанный, с большим количеством деталей, с акцентом на технологии (которая упоминалась как «уникальная способность обнаруживать вредоносное программное обеспечение посредством использования автоматизированного поведенческого анализа»), этот отчет мог бы принести гораздо больше пользы. Если, конечно, ваш интерес не заключается исключительно в том, чтобы заявить во всеуслышание, что вы тоже имеете отношение к информационной безопасности и у вас есть интересные технологии для обнаружения вредоносного кода. Но таково свойство PR: если вы выносите что-то на публику, то будьте готовы к ответным комментариям, особенно когда ваша цель, что называется, шита белыми нитками.
В завершение хочу сказать, что было бы неплохо, если бы обсуждение темы в Twitter носило вежливый характер и не слишком отклонялось от первоначального предмета разговора. Я вовсе не «отчаянно жаждущий внимания» тролль, как, видимо, решил Дэн Митчелл из Cybereason. У меня все-таки есть некоторый опыт работы в этой сфере, раз уж я в течение многих лет разрабатываю стратегию информационной безопасности для компании HP. Да что там, я просто сварливый старикан, и оскорбления, как правило, просто отскакивают от меня.