Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Hidden parasite : Kaspersky découvre une extension de Microsoft Exchange qui dérobe les identifiants des utilisateurs

décembre 2021 par Kaspersky

Kaspersky a découvert qu’un nouveau module IIS (un logiciel censé fournir des fonctions supplémentaires aux serveurs Web Microsoft) vole les identifiants saisis lors d’une connexion à Outlook Web Access (OWA). Baptisé Owowa, ce module précédemment inconnu a été compilé entre fin 2020 et avril 2021. Il permet également aux attaquants d’accéder à distance au serveur sous-jacent et constitue une méthode de vol furtive difficile à détecter via la surveillance du réseau. Résistant également aux mises à jour logicielles d’Exchange, il peut rester longtemps caché sur un appareil.

En 2021, les groupes APT ont intensifié leur exploitation des vulnérabilités de Microsoft Exchange Server. En mars, quatre vulnérabilités critiques des serveurs ont permis aux pirates d’accéder à tous les comptes de messagerie enregistrés et d’exécuter du code arbitraire. En recherchant d’autres implants potentiellement frauduleux dans Exchange, les experts Kaspersky ont découvert un module malveillant qui permet aux hackers de voler les identifiants de connexion à Outlook Web Access et d’exercer un contrôle à distance sur le serveur sous-jacent. Les fonctionnalités malveillantes de ce malware baptisé Owowa par Kaspersky se déploient facilement via l’envoi de demandes d’apparence inoffensive, en l’occurrence des requêtes d’authentification OWA.

Les experts Kaspersky pensent que ce module a été compilé entre fin 2020 et avril 2021, et ses cibles avérées se trouvent en Malaisie, en Mongolie, en Indonésie et aux Philippines. La plupart étaient liées à des organisations gouvernementales et une autre à une société de transport d’État. Il est probable qu’il existe déjà d’autres victimes en Europe.

Les cibles identifiées d’Owowa se situent dans plusieurs régions d’Asie.

Il suffit aux cybercriminels d’accéder à la page de connexion OWA d’un serveur piraté pour saisir des commandes spécialement conçues dans les champs du nom d’utilisateur et du mot de passe. Ainsi, ils peuvent s’infiltrer efficacement dans les réseaux ciblés et se maintenir au sein d’un serveur Exchange.

Les chercheurs de Kaspersky n’ont pu attribuer Owowa à aucun autre groupe d’attaquants connu. Ils ont toutefois constaté qu’il était associé au nom d’utilisateur « S3crt », un développeur qui pourrait être à l’origine de plusieurs autres chargeurs binaires malveillants. Cependant, « S3crt » est un simple dérivé du terme « secret » et pourrait très bien être utilisé par différentes personnes. Il est donc également possible qu’il n’y ait aucun lien entre ces fichiers binaires malveillants et Owowa.

« Owowa est particulièrement dangereux car un attaquant peut l’utiliser pour voler passivement les identifiants d’utilisateurs qui accèdent légitimement à des services Web. C’est un moyen bien plus discret d’obtenir un accès à distance que l’envoi d’un e-mail de phishing. De plus, même si des outils de configuration IIS peuvent détecter ce type de menace, ils ne sont pas intégrés aux activités standard de surveillance des fichiers et des réseaux. Par conséquent, Owowa peut facilement passer inaperçu », souligne Pierre Delcher, Senior Security Researcher au sein de la Global Research and Analysis Team de Kaspersky (GReAT).

« Puisque Owowa est un module IIS, il se maintient même en cas de mise à jour de Microsoft Exchange. La bonne nouvelle est que les attaques ne semblent pas très sophistiquées. Les entreprises doivent surveiller de près les serveurs Exchange, qui sont particulièrement sensibles et contiennent tous leurs échanges d’e-mails. Nous recommandons également de considérer tous les modules en cours d’exécution comme critiques et de les vérifier régulièrement », ajoute Paul Rascagneres, Senior Security Researcher, GReAT.

Pour vous protéger de ce type de menace, Kaspersky fait les recommandations suivantes :

● Vérifiez régulièrement les modules chargés sur les serveurs IIS exposés (notamment Exchange), en vous appuyant sur les outils existants de la suite de serveurs. Dans tous les cas, contrôlez ces modules dans le cadre des activités de détection des menaces, à chaque annonce d’une vulnérabilité majeure sur les produits serveur de Microsoft.

● Concentrez votre stratégie de défense sur la détection des mouvements latéraux et sur l’exfiltration de données vers Internet. Surveillez tout particulièrement le trafic sortant pour détecter les connexions des cybercriminels. Sauvegardez vos données régulièrement. Assurez-vous de pouvoir rapidement y accéder en cas d’urgence.

● Utilisez des solutions telles que Kaspersky Endpoint Detection and Response et Kaspersky Managed Detection and Response pour anticiper et bloquer les attaques avant que les pirates n’arrivent à leurs fins.

● Utilisez une solution de protection des terminaux éprouvée comme Kaspersky Endpoint Security for Business, qui offre des fonctionnalités telles que la prévention des exploits, la détection des comportements anormaux et un moteur de correction pour neutraliser les tentatives malveillantes, ainsi qu’un mécanisme d’auto-défense qui empêche les cybercriminels de la désinstaller.




Voir les articles précédents

    

Voir les articles suivants