Cybersécurité

Vol d’identifiant de connexion

Découverte d’un problème de sécurité dans un logiciel censé fournir des fonctions supplémentaires aux serveurs Web Microsoft. Des pirates seraient capable de voler les identifiants saisis lors d’une connexion à Outlook Web Access (OWA) via une faille exploitée dans un nouveau module IIS.

Découverte d’un problème de sécurité dans un logiciel censé fournir des fonctions supplémentaires aux serveurs Web Microsoft. Des pirates seraient capable de voler les identifiants saisis lors d’une connexion à Outlook Web Access (OWA) via une faille exploitée dans un nouveau module IIS.

Baptisé Owowa, ce module IIS a été compilé entre fin 2020 et avril 2021. Il permet à des pirates d’accéder à distance au serveur sous-jacent. Cela constitue une méthode de vol furtive difficile à détecter via la surveillance du réseau. Résistant également aux mises à jour logicielles d’Exchange, il peut rester longtemps caché sur un appareil.

En 2021, les groupes de malveillants ont intensifié leur exploitation des vulnérabilités Microsoft Exchange Server. En mars 2021 par exemple, quatre failles critiques de serveurs ont permis aux black hat d’accéder à tous les comptes de messagerie enregistrés et d’exécuter du code arbitraire.

En recherchant d’autres implants potentiellement frauduleux dans Exchange, les experts ont découvert un module malveillant qui permet aux hackers malveillant de voler les identifiants de connexion à Outlook Web Access et d’exercer un contrôle à distance sur le serveur sous-jacent. Les fonctionnalités malveillantes de ce malware baptisé Owowa se déploient facilement via l’envoi de demandes d’apparence inoffensive, en l’occurrence des requêtes d’authentification OWA.

Bref, autant dire qu’un antivirus pour Windows est plus que nécessaire pour palier toute tentatives d’infiltration d’un code malveillant.

Les experts pensent que les cibles de cet outil pirate sont basés en Asie, et plus précisément en Malaisie, en Mongolie, en Indonésie et aux Philippines. La plupart étaient liées à des organisations gouvernementales et une autre à une société de transport d’État. Il est probable que d’autres victimes soient basées dans le monde depuis.

« Owowa est particulièrement dangereux car un attaquant peut l’utiliser pour voler passivement les identifiants d’utilisateurs qui accèdent légitimement à des services Web. C’est un moyen bien plus discret d’obtenir un accès à distance que l’envoi d’un e-mail de phishing. De plus, même si des outils de configuration IIS peuvent détecter ce type de menace, ils ne sont pas intégrés aux activités standard de surveillance des fichiers et des réseaux. Par conséquent, Owowa peut facilement passer inaperçu », souligne Pierre Delcher, Senior Security Researcher au sein de la Global Research and Analysis Team (GReAT).

« Puisque Owowa est un module IIS, il se maintient même en cas de mise à jour de Microsoft Exchange. La bonne nouvelle est que les attaques ne semblent pas très sophistiquées. Les entreprises doivent surveiller de près les serveurs Exchange, qui sont particulièrement sensibles et contiennent tous leurs échanges d’e-mails. Nous recommandons également de considérer tous les modules en cours d’exécution comme critiques et de les vérifier régulièrement », ajoute Paul Rascagneres, Senior Security Researcher, GReAT.

You may also like

PUBLICITES

Autres sujets

Privacy Preference Center