{"id":26572,"date":"2021-12-17T12:32:37","date_gmt":"2021-12-17T10:32:37","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=26572"},"modified":"2022-05-05T12:05:44","modified_gmt":"2022-05-05T10:05:44","slug":"owowa-weaponizing-web-mail-outlook","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/owowa-weaponizing-web-mail-outlook\/26572\/","title":{"rendered":"OWOWA: un m\u00f3dulo malicioso en IIS"},"content":{"rendered":"

Un m\u00f3dulo malicioso en Internet Information Services (IIS) convierte la versi\u00f3n web de Outlook en una herramienta para robar credenciales y un panel de acceso remoto. Unos agentes desconocidos han utilizado el m\u00f3dulo, denominado OWOWA por nuestros investigadores, en ataques dirigidos.<\/p>\n

Por qu\u00e9 la versi\u00f3n web de Outlook atrae a los atacantes<\/h2>\n

La versi\u00f3n web de Outlook (antes conocido como Exchange Web Connect, Outlook Web Access y Outlook Web App, o simplemente OWA) es una interfaz basada en Internet para acceder al servicio del Administrador de Informaci\u00f3n Personal de Microsoft. La aplicaci\u00f3n se implementa en los servidores web que ejecutan IIS.<\/p>\n

Muchas empresas lo utilizan para dar acceso remoto a los empleados a sus correos corporativos y a los calendarios sin tener que instalar un cliente para ello. Hay varios m\u00e9todos para implementar Outlook en la web; uno de ellos requiere el uso de Exchange Server en el sitio, que es lo que atrae a los ciberdelincuentes. En teor\u00eda, obtener el control de esta aplicaci\u00f3n concede acceso a toda la correspondencia corporativa, junto con oportunidades infinitas de expandir su ataque en la infraestructura y lanzar campa\u00f1as BEC adicionales.<\/p>\n

C\u00f3mo funciona OWOWA<\/h2>\n

OWOWA se carga en servidores web IIS comprometidos como un m\u00f3dulo para todas las aplicaciones compatibles; sin embargo, su prop\u00f3sito es interceptar las credenciales que se introducen en OWA. El malware<\/em> revisa las solicitudes y respuestas en la p\u00e1gina de inicio de sesi\u00f3n de la versi\u00f3n web de Outlook y, si detecta que un usuario ha introducido credenciales y recibido un token de autentificaci\u00f3n en respuesta, escribe el nombre de usuario y contrase\u00f1a en un archivo (en formato cifrado).<\/p>\n

Adem\u00e1s, OWOWA permite a los atacantes controlar su funcionalidad directamente mediante el mismo formato de autentificaci\u00f3n. Al introducir ciertos comandos en los campos de nombre de usuario y contrase\u00f1a, un atacante puede recuperar la informaci\u00f3n recopilada, eliminar el archivo de registro o ejecutar comandos arbitrarios en el servidor comprometido mediante PowerShell.<\/p>\n

En esta publicaci\u00f3n de Securelist<\/a> encontrar\u00e1s una descripci\u00f3n m\u00e1s detallada del m\u00f3dulo con sus indicadores de compromiso.<\/p>\n

\u00bfQui\u00e9nes est\u00e1n en el punto de mira de OWOWA?<\/h2>\n

Nuestros expertos han detectado ataques basados en OWOWA en servidores de varios pa\u00edses asi\u00e1ticos: Malasia, Mongolia, Indonesia y Filipinas. Sin embargo, tenemos motivos para pensar que los ciberdelincuentes tambi\u00e9n est\u00e1n interesados en organizaciones europeas.<\/p>\n

La mayor\u00eda de los objetivos han sido agencias gubernamentales, donde al menos una era una empresa de transporte (tambi\u00e9n propiedad del estado).<\/p>\n

C\u00f3mo protegerte contra OWOWA<\/h2>\n

Puedes utilizar el comando appcmd.exe o la herramienta de configuraci\u00f3n de IIS para detectar el m\u00f3dulo malicioso OWOWA (o cualquier otro m\u00f3dulo de IIS de terceros) en el servidor web IIS. Sin embargo, no olvides que, al igual que cualquier ordenador, todo servidor conectado a Internet necesita protecci\u00f3n<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Un m\u00f3dulo malicioso en Internet Information Services convierte la versi\u00f3n web de Outlook en una herramienta para los ciberdelincuentes. <\/p>\n","protected":false},"author":2706,"featured_media":26574,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754,2755],"tags":[3379,25,538,3259,1467],"class_list":{"0":"post-26572","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-amenazas-web","11":"tag-aplicaciones-web","12":"tag-correo-electronico","13":"tag-exchange","14":"tag-outlook"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/owowa-weaponizing-web-mail-outlook\/26572\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/owowa-weaponizing-web-mail-outlook\/23749\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/owowa-weaponizing-web-mail-outlook\/19249\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/owowa-weaponizing-web-mail-outlook\/9643\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/owowa-weaponizing-web-mail-outlook\/25949\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/owowa-weaponizing-web-mail-outlook\/23943\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/owowa-weaponizing-web-mail-outlook\/23601\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/owowa-weaponizing-web-mail-outlook\/26183\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/owowa-weaponizing-web-mail-outlook\/32093\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/owowa-weaponizing-web-mail-outlook\/43145\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/owowa-weaponizing-web-mail-outlook\/18281\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/owowa-weaponizing-web-mail-outlook\/18675\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/owowa-weaponizing-web-mail-outlook\/15621\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/owowa-weaponizing-web-mail-outlook\/27868\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/owowa-weaponizing-web-mail-outlook\/32226\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/owowa-weaponizing-web-mail-outlook\/27940\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/owowa-weaponizing-web-mail-outlook\/24687\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/owowa-weaponizing-web-mail-outlook\/30112\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/owowa-weaponizing-web-mail-outlook\/29903\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/aplicaciones-web\/","name":"aplicaciones web"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/26572","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=26572"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/26572\/revisions"}],"predecessor-version":[{"id":26579,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/26572\/revisions\/26579"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/26574"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=26572"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=26572"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=26572"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}