Hidden parasite : Kaspersky découvre une extension de Microsoft Exchange qui dérobe les identifiants des utilisateurs

0

Kaspersky a découvert qu’un nouveau module IIS (un logiciel censé fournir des fonctions supplémentaires aux serveurs Web Microsoft) vole les identifiants saisis lors d’une connexion à Outlook Web Access (OWA). Baptisé Owowa, ce module précédemment inconnu a été compilé entre fin 2020 et avril 2021. Il permet également aux attaquants d’accéder à distance au serveur sous-jacent et constitue une méthode de vol furtive difficile à détecter via la surveillance du réseau. Résistant également aux mises à jour logicielles d’Exchange, il peut rester longtemps caché sur un appareil.

Tribune – En 2021, les groupes APT ont intensifié leur exploitation des vulnérabilités de Microsoft Exchange Server. En mars, quatre vulnérabilités critiques des serveurs ont permis aux pirates d’accéder à tous les comptes de messagerie enregistrés et d’exécuter du code arbitraire. En recherchant d’autres implants potentiellement frauduleux dans Exchange, les experts Kaspersky ont découvert un module malveillant qui permet aux hackers de voler les identifiants de connexion à Outlook Web Access et d’exercer un contrôle à distance sur le serveur sous-jacent. Les fonctionnalités malveillantes de ce malware baptisé Owowa par Kaspersky se déploient facilement via l’envoi de demandes d’apparence inoffensive, en l’occurrence des requêtes d’authentification OWA.  

Les experts Kaspersky pensent que ce module a été compilé entre fin 2020 et avril 2021, et ses cibles avérées se trouvent en Malaisie, en Mongolie, en Indonésie et aux Philippines. La plupart étaient liées à des organisations gouvernementales et une autre à une société de transport d’État. Il est probable qu’il existe déjà d’autres victimes en Europe.

Les cibles identifiées d’Owowa se situent dans plusieurs régions d’Asie.

Il suffit aux cybercriminels d’accéder à la page de connexion OWA d’un serveur piraté pour saisir des commandes spécialement conçues dans les champs du nom d’utilisateur et du mot de passe. Ainsi, ils peuvent s’infiltrer efficacement dans les réseaux ciblés et se maintenir au sein d’un serveur Exchange.

Les chercheurs de Kaspersky n’ont pu attribuer Owowa à aucun autre groupe d’attaquants connu. Ils ont toutefois constaté qu’il était associé au nom d’utilisateur « S3crt », un développeur qui pourrait être à l’origine de plusieurs autres chargeurs binaires malveillants. Cependant, « S3crt » est un simple dérivé du terme « secret » et pourrait très bien être utilisé par différentes personnes. Il est donc également possible qu’il n’y ait aucun lien entre ces fichiers binaires malveillants et Owowa.

« Owowa est particulièrement dangereux car un attaquant peut l’utiliser pour voler passivement les identifiants d’utilisateurs qui accèdent légitimement à des services Web. C’est un moyen bien plus discret d’obtenir un accès à distance que l’envoi d’un e-mail de phishing. De plus, même si des outils de configuration IIS peuvent détecter ce type de menace, ils ne sont pas intégrés aux activités standard de surveillance des fichiers et des réseaux. Par conséquent, Owowa peut facilement passer inaperçu », souligne Pierre Delcher, Senior Security Researcher au sein de la Global Research and Analysis Team de Kaspersky (GReAT).

« Puisque Owowa est un module IIS, il se maintient même en cas de mise à jour de Microsoft Exchange. La bonne nouvelle est que les attaques ne semblent pas très sophistiquées. Les entreprises doivent surveiller de près les serveurs Exchange, qui sont particulièrement sensibles et contiennent tous leurs échanges d’e-mails. Nous recommandons également de considérer tous les modules en cours d’exécution comme critiques et de les vérifier régulièrement », ajoute Paul Rascagneres, Senior Security Researcher, GReAT.

Pour consulter l’intégralité du rapport sur Owowa, rendez-vous sur Securelist.

Pour vous protéger de ce type de menace, Kaspersky fait les recommandations suivantes :

  • Vérifiez régulièrement les modules chargés sur les serveurs IIS exposés (notamment Exchange), en vous appuyant sur les outils existants de la suite de serveurs. Dans tous les cas, contrôlez ces modules dans le cadre des activités de détection des menaces, à chaque annonce d’une vulnérabilité majeure sur les produits serveur de Microsoft.
  • Concentrez votre stratégie de défense sur la détection des mouvements latéraux et sur l’exfiltration de données vers Internet. Surveillez tout particulièrement le trafic sortant pour détecter les connexions des cybercriminels. Sauvegardez vos données régulièrement. Assurez-vous de pouvoir rapidement y accéder en cas d’urgence.
  • Utilisez des solutions de sécurité pour anticiper et bloquer les attaques avant que les pirates n’arrivent à leurs fins.
  • Utilisez une solution de protection des terminaux éprouvée qui offre des fonctionnalités telles que la prévention des exploits, la détection des comportements anormaux et un moteur de correction pour neutraliser les tentatives malveillantes, ainsi qu’un mécanisme d’auto-défense qui empêche les cybercriminels de la désinstaller.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.