Nouveau coup dur pour Microsoft Exchange, après la découverte d'une extension qui vole des identifiants

21 décembre 2021 à 13h15
7
hacking © B_A / Pixabay
© B_A / Pixabay

Les chercheurs de Kaspersky ont découvert une extension malveillante de Microsoft Exchange, jusque-là passée inaperçue, capable de voler les identifiants des utilisateurs de la messagerie Outlook Web Access (OWA). Un nouveau couac.

Après les vulnérabilités ProxyLogon du début d'année, Microsoft Exchange est en proie à de nouvelles difficultés de sécurité. Une équipe de Kaspersky a en effet découvert un module IIS qui vole les identifiants saisis lors d'une connexion avec la messagerie professionnelle Outlook Web Access, OWA. Le petit module, baptisé « Owowa », a été compilé entre fin 2020 et avril 2021, indique Kaspersky. Cet incident vient confirmer l'état de compromission du serveur Exchange, dont les vulnérabilités ont très bien pu être exploitées par les hackers pour déployer Owowa.

Le piège de voir ses identifiants dérobés lors d'une connexion légitime à Outlook Web Access

Clairement, les quatre vulnérabilités critiques des serveurs Microsoft Exchange, qui permettaient aux cybercriminels d'accéder aux comptes de messageries enregistrés et d'exécuter à distance du code arbitraire, peuvent être comparées à une immense porte ouverte, par laquelle les groupes APT se sont engouffrés sans se faire prier.

C'est presque naturellement que les experts de Kaspersky ont découvert un module malveillant, caché derrière un logiciel qui à la base était censé fournir des fonctionnalités supplémentaires aux serveurs Web Microsoft. Sauf que celui-ci permet aux pirates de dérober les identifiants de connexion à Outlook Web Access. Ensuite, ils ont tout le loisir d'opérer, d'une façon à la fois furtive et difficilement détectable, un contrôle à distance sur le serveur sous-jacent.

Le malware Owowa se déploie très facilement via l'envoi de demandes qui paraissent inoffensives, puisque faites sous la forme de requêtes d'authentification à Outlook. Et si « les attaques ne semblent pas très sophistiquées », ce qui du point de vue du chercheur Paul Rascagnères semble être une bonne nouvelle, Owowa n'en demeure pas moins dangereux, car « il se maintient même en cas de mise à jour de Microsoft Exchange », nous explique-t-il, ce qui devrait faire de lui un vrai malware persistant. « Owowa est particulièrement dangereux car un attaquant peut l'utiliser pour voler passivement les identifiants d'utilisateurs qui accèdent légitimement à des services Web. C'est un moyen bien plus discret d'obtenir un accès à distance que l'envoi d'un e-mail de phishing », complète Pierre Delcher, autre chercheur du GReAT de Kaspersky.

Des cibles localisées en Asie, mais l'Europe ne serait pas épargnée

Plus simplement, comment les cybercriminels parviennent-ils à exploiter leur malware ? « Il suffit aux cybercriminels d'accéder à la page de connexion OWA d'un serveur piraté pour saisir des commandes spécialement conçues dans les champs du nom d'utilisateur et du mot de passe. Ainsi, ils peuvent s'infiltrer efficacement dans les réseaux ciblés et se maintenir au sein d'un serveur Exchange », décrit Kaspersky.

Plusieurs serveurs aujourd'hui compromis ont été identifiés en Asie par Kaspersky. Les cibles avérées se trouvent effectivement en Indonésie, en Malaisie, aux Philippines et en Mongolie. « La plupart étaient liées à des organisations gouvernementales et une autre à une société de transport d'État. Il est probable qu'il existe déjà d'autres victimes en Europe », redoute le spécialiste de la cybersécurité, qui ne peut pas en dire davantage publiquement à ce stade.

Pour l'instant, Kaspersky n'attribue pas de paternité à Owowa. L'entreprise n'a pour le moment trouvé aucun lien avec un acteur connu de la cybermenace, même si le nom d'utilisateur du groupe d'attaquants, « S3crt » (pour « secret »), a déjà été à l'origine de charges malveillantes par le passé. Pour le moment, cela reste de l'ordre de la supposition, et les informations manquent encore pour clairement identifier le groupe qui se cache derrière Owowa.

Pour se protéger de lui, Kaspersky recommande aux entreprises de surveiller de près les serveurs Exchange, qui restent « particulièrement sensibles et contiennent tous leurs échanges d'e-mails », explique Paul Rascagnères, qui conseille de « considérer tous les modules en cours d'exécution comme critiques et de les vérifier régulièrement », pour limiter les risques.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
7
6
nemo2023
Y’a plus simple et discret. Tu vois un virus, tu colmate la brèche pour les pirates mais tu laisses ouvert pour la "sécurité " de ton pays.<br /> Comme ça, au pire c’est pas toi …
jejetoulouse
La totale !!!
Koin-Koin
Intéressant en effet.<br /> Une question par contre, qu’est-ce qu’un «&nbsp;groupe APT&nbsp;» ?
AlexLex14
Salut,<br /> Un groupe APT généralement c’est un groupe qui se spécialise dans des attaques que l’on dit «&nbsp;sournoises&nbsp;» qui vont aboutir à un vol de données ou à de l’espionnage
Koin-Koin
Merci pour la précision, je ne connaissait pas le terme.<br /> D’ailleurs, que veux dire l’acronyme ?
claudemc
Je ne sais pas ce que ça veut dire mais quand un groupe dans le vent APT, il dit en général «&nbsp;pardon&nbsp;», si ça peut aider!
Alphagot
APT signifie Advanced Persistent Threat ou menace persistante avancée en Fr !<br /> Groupes APT (Advanced Persistent Threat) | FireEye ( groupe APT identifié )
Koin-Koin
Merci beaucoup.
Voir tous les messages sur le forum

Lectures liées

Bandai Namco ferme les serveurs PVP de Dark Souls en urgence à cause d'une faille de sécurité critique
Avec son offre à -60%, Bitdefender vous propose le meilleur des antivirus à petit prix !
CyberGhost VPN casse le prix de son abonnement à 1,89€/mois pendant 3 ans !
Un antivirus efficace et pas cher ? Profitez d'un abonnement Bitdefender à -60%
Norton fait les soldes ! En quoi ses antivirus à -60% est une aubaine ?
Crypto.com piraté, des centaines de comptes touchés et plusieurs millions de dollars dans la nature
La Croix-Rouge se fait voler les données de plus de 500 000 personnes hautement vulnérables
Rends l'argent ! Cacophonie et négociations après un vol de 3 millions de dollars en crypto
Norton casse les prix de ses antivirus ! Pourquoi se décider à les installer ?
Pegasus utilisé par la police israélienne pour surveiller les citoyens ?
Haut de page