IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Kaspersky a découvert Owowa, une extension de Microsoft Exchange qui vole les identifiants saisis lors d'une connexion à Outlook Web Access
Et qui résiste aux mises à jour logicielles

Le , par Sandra Coret

39PARTAGES

5  0 
Kaspersky a découvert qu'un nouveau module IIS (un logiciel censé fournir des fonctions supplémentaires aux serveurs Web Microsoft) vole les identifiants saisis lors d'une connexion à Outlook Web Access (OWA). Baptisé Owowa, ce module précédemment inconnu a été compilé entre fin 2020 et avril 2021.

Il permet également aux attaquants d'accéder à distance au serveur sous-jacent et constitue une méthode de vol furtive difficile à détecter via la surveillance du réseau. Résistant également aux mises à jour logicielles d'Exchange, il peut rester longtemps caché sur un appareil.

En 2021, les groupes APT ont intensifié leur exploitation des vulnérabilités de Microsoft Exchange Server. En mars, quatre vulnérabilités critiques des serveurs ont permis aux pirates d'accéder à tous les comptes de messagerie enregistrés et d'exécuter du code arbitraire. En recherchant d'autres implants potentiellement frauduleux dans Exchange, les experts Kaspersky ont découvert un module malveillant qui permet aux hackers de voler les identifiants de connexion à Outlook Web Access et d'exercer un contrôle à distance sur le serveur sous-jacent. Les fonctionnalités malveillantes de ce malware baptisé Owowa par Kaspersky se déploient facilement via l'envoi de demandes d'apparence inoffensive, en l'occurrence des requêtes d'authentification OWA.

Les experts Kaspersky pensent que ce module a été compilé entre fin 2020 et avril 2021, et ses cibles avérées se trouvent en Malaisie, en Mongolie, en Indonésie et aux Philippines. La plupart étaient liées à des organisations gouvernementales et une autre à une société de transport d'État. Il est probable qu'il existe déjà d'autres victimes en Europe


Les cibles identifiées d'Owowa se situent dans plusieurs régions d'Asie.

Il suffit aux cybercriminels d'accéder à la page de connexion OWA d'un serveur piraté pour saisir des commandes spécialement conçues dans les champs du nom d'utilisateur et du mot de passe. Ainsi, ils peuvent s'infiltrer efficacement dans les réseaux ciblés et se maintenir au sein d'un serveur Exchange.

Les chercheurs de Kaspersky n'ont pu attribuer Owowa à aucun autre groupe d’attaquants connu. Ils ont toutefois constaté qu'il était associé au nom d'utilisateur « S3crt », un développeur qui pourrait être à l'origine de plusieurs autres chargeurs binaires malveillants. Cependant, « S3crt » est un simple dérivé du terme « secret » et pourrait très bien être utilisé par différentes personnes. Il est donc également possible qu’il n'y ait aucun lien entre ces fichiers binaires malveillants et Owowa.

Pierre Delcher, Senior Security Researcher au sein de la Global Research and Analysis Team de Kaspersky (GReAT), souligne : « Owowa est particulièrement dangereux car un attaquant peut l'utiliser pour voler passivement les identifiants d'utilisateurs qui accèdent légitimement à des services Web. C'est un moyen bien plus discret d'obtenir un accès à distance que l'envoi d'un e-mail de phishing. De plus, même si des outils de configuration IIS peuvent détecter ce type de menace, ils ne sont pas intégrés aux activités standard de surveillance des fichiers et des réseaux. Par conséquent, Owowa peut facilement passer inaperçu »

Paul Rascagneres, Senior Security Researcher, GReAT, ajoute : « Puisque Owowa est un module IIS, il se maintient même en cas de mise à jour de Microsoft Exchange. La bonne nouvelle est que les attaques ne semblent pas très sophistiquées. Les entreprises doivent surveiller de près les serveurs Exchange, qui sont particulièrement sensibles et contiennent tous leurs échanges d’e-mails. Nous recommandons également de considérer tous les modules en cours d'exécution comme critiques et de les vérifier régulièrement »



    Pour vous protéger de ce type de menace, Kaspersky fait les recommandations suivantes :
  • Vérifiez régulièrement les modules chargés sur les serveurs IIS exposés (notamment Exchange), en vous appuyant sur les outils existants de la suite de serveurs. Dans tous les cas, contrôlez ces modules dans le cadre des activités de détection des menaces, à chaque annonce d'une vulnérabilité majeure sur les produits serveur de Microsoft.
  • Concentrez votre stratégie de défense sur la détection des mouvements latéraux et sur l’exfiltration de données vers Internet. Surveillez tout particulièrement le trafic sortant pour détecter les connexions des cybercriminels. Sauvegardez vos données régulièrement. Assurez-vous de pouvoir rapidement y accéder en cas d’urgence.
  • Utilisez des solutions telles que Kaspersky Endpoint Detection and Response et Kaspersky Managed Detection and Response pour anticiper et bloquer les attaques avant que les pirates n’arrivent à leurs fins.
  • Utilisez une solution de protection des terminaux éprouvée qui offre des fonctionnalités telles que la prévention des exploits, la détection des comportements anormaux et un moteur de correction pour neutraliser les tentatives malveillantes, ainsi qu’un mécanisme d’auto-défense qui empêche les cybercriminels de la désinstaller.


À propos de Kaspersky

Kaspersky est une société internationale de cybersécurité et de protection de la vie privée numérique fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient constamment enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers à travers le monde.

Source : Kaspersky

Et vous ?

Qu'en pensez-vous ?
Avez-vous déjà été confronté à ce malware ?

Voir aussi :

Microsoft avertit des milliers de clients du cloud que leurs bases de données sont exposées à des violations ou attaques de toute sorte

Le groupe APT (Advanced Persistent Threat) FamousSparrow utilise ProxyLogon, une vulnérabilité de Microsoft Exchange, pour espionner des hôtels, des entreprises et des gouvernements, selon ESET

Les tentatives d'attaque sur Microsoft Exchange ont augmenté de 170 % en août 2021, passant de 7 342 à 19 839, la France fait partie du top 10 des pays ciblés, selon Kaspersky

Une erreur dans cette actualité ? Signalez-nous-la !