Kaspersky a découvert qu'un nouveau module IIS (un logiciel censé fournir des fonctions supplémentaires aux serveurs Web Microsoft) vole les identifiants saisis lors d'une connexion à Outlook Web Access (OWA). Baptisé Owowa, ce module précédemment inconnu a été compilé entre fin 2020 et avril 2021.Il permet également aux attaquants d'accéder à distance au serveur sous-jacent et constitue une méthode de vol furtive difficile à détecter via la surveillance du réseau. Résistant également aux mises à jour logicielles d'Exchange, il peut rester longtemps caché sur un appareil.
En 2021, les groupes APT ont intensifié leur exploitation des vulnérabilités de Microsoft Exchange Server. En mars, quatre vulnérabilités critiques des serveurs ont permis aux pirates d'accéder à tous les comptes de messagerie enregistrés et d'exécuter du code arbitraire. En recherchant d'autres implants potentiellement frauduleux dans Exchange, les experts Kaspersky ont découvert un module malveillant qui permet aux hackers de voler les identifiants de connexion à Outlook Web Access et d'exercer un contrôle à distance sur le serveur sous-jacent. Les fonctionnalités malveillantes de ce malware baptisé Owowa par Kaspersky se déploient facilement via l'envoi de demandes d'apparence inoffensive, en l'occurrence des requêtes d'authentification OWA.
Les experts Kaspersky pensent que ce module a été compilé entre fin 2020 et avril 2021, et ses cibles avérées se trouvent en Malaisie, en Mongolie, en Indonésie et aux Philippines. La plupart étaient liées à des organisations gouvernementales et une autre à une société de transport d'État. Il est probable qu'il existe déjà d'autres victimes en Europe
Les cibles identifiées d'Owowa se situent dans plusieurs régions d'Asie.
Il suffit aux cybercriminels d'accéder à la page de connexion OWA d'un serveur piraté pour saisir des commandes spécialement conçues dans les champs du nom d'utilisateur et du mot de passe. Ainsi, ils peuvent s'infiltrer efficacement dans les réseaux ciblés et se maintenir au sein d'un serveur Exchange.
Les chercheurs de Kaspersky n'ont pu attribuer Owowa à aucun autre groupe d’attaquants connu. Ils ont toutefois constaté qu'il était associé au nom d'utilisateur « S3crt », un développeur qui pourrait être à l'origine de plusieurs autres chargeurs binaires malveillants. Cependant, « S3crt » est un simple dérivé du terme « secret » et pourrait très bien être utilisé par différentes personnes. Il est donc également possible qu’il n'y ait aucun lien entre ces fichiers binaires malveillants et Owowa.
Pierre Delcher, Senior Security Researcher au sein de la Global Research and Analysis Team de Kaspersky (GReAT), souligne : « Owowa est particulièrement dangereux car un attaquant peut l'utiliser pour voler passivement les identifiants d'utilisateurs qui accèdent légitimement à des services Web. C'est un moyen bien plus discret d'obtenir un accès à distance que l'envoi d'un e-mail de phishing. De plus, même si des outils de configuration IIS peuvent détecter ce type de menace, ils ne sont pas intégrés aux activités standard de surveillance des fichiers et des réseaux. Par conséquent, Owowa peut facilement passer inaperçu »
Paul Rascagneres, Senior Security Researcher, GReAT, ajoute : « Puisque Owowa est un module IIS, il se maintient même en cas de mise à jour de Microsoft Exchange. La bonne nouvelle est que les attaques ne semblent pas très sophistiquées. Les entreprises doivent surveiller de près les serveurs Exchange, qui sont particulièrement sensibles et contiennent tous leurs échanges d’e-mails. Nous recommandons également de considérer tous les modules en cours d'exécution comme critiques et de les vérifier régulièrement »
- Vérifiez régulièrement les modules chargés sur les serveurs IIS exposés (notamment Exchange), en vous appuyant sur les outils existants de la suite de serveurs. Dans tous les cas, contrôlez ces modules dans le cadre des activités de détection des menaces, à chaque annonce d'une vulnérabilité majeure sur les produits serveur de Microsoft.
- Concentrez votre stratégie de défense sur la détection des mouvements latéraux et sur l’exfiltration de données vers Internet. Surveillez tout particulièrement le trafic sortant pour détecter les connexions des cybercriminels. Sauvegardez vos données régulièrement. Assurez-vous de pouvoir rapidement y accéder en cas d’urgence.
- Utilisez des solutions telles que Kaspersky Endpoint Detection and Response et Kaspersky Managed Detection and Response pour anticiper et bloquer les attaques avant que les pirates n’arrivent à leurs fins.
- Utilisez une solution de protection des terminaux éprouvée qui offre des fonctionnalités telles que la prévention des exploits, la détection des comportements anormaux et un moteur de correction pour neutraliser les tentatives malveillantes, ainsi qu’un mécanisme d’auto-défense qui empêche les cybercriminels de la désinstaller.
Pour vous protéger de ce type de menace, Kaspersky fait les recommandations suivantes :
À propos de Kaspersky
Kaspersky est une société internationale de cybersécurité et de protection de la vie privée numérique fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient constamment enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers à travers le monde.
Source : Kaspersky
Et vous ?
Qu'en pensez-vous ? Avez-vous déjà été confronté à ce malware ?Voir aussi :
Microsoft avertit des milliers de clients du cloud que leurs bases de données sont exposées à des violations ou attaques de toute sorte Le groupe APT (Advanced Persistent Threat) FamousSparrow utilise ProxyLogon, une vulnérabilité de Microsoft Exchange, pour espionner des hôtels, des entreprises et des gouvernements, selon ESET Les tentatives d'attaque sur Microsoft Exchange ont augmenté de 170 % en août 2021, passant de 7 342 à 19 839, la France fait partie du top 10 des pays ciblés, selon Kaspersky