Les chercheurs de Kaspersky ont découvert une extension malveillante de Microsoft Exchange, jusque-là passée inaperçue, capable de voler les identifiants des utilisateurs de la messagerie Outlook Web Access (OWA). Un nouveau couac.
Après les vulnérabilités ProxyLogon du début d'année, Microsoft Exchange est en proie à de nouvelles difficultés de sécurité. Une équipe de Kaspersky a en effet découvert un module IIS qui vole les identifiants saisis lors d'une connexion avec la messagerie professionnelle Outlook Web Access, OWA. Le petit module, baptisé « Owowa », a été compilé entre fin 2020 et avril 2021, indique Kaspersky. Cet incident vient confirmer l'état de compromission du serveur Exchange, dont les vulnérabilités ont très bien pu être exploitées par les hackers pour déployer Owowa.
Le piège de voir ses identifiants dérobés lors d'une connexion légitime à Outlook Web Access
Clairement, les quatre vulnérabilités critiques des serveurs Microsoft Exchange, qui permettaient aux cybercriminels d'accéder aux comptes de messageries enregistrés et d'exécuter à distance du code arbitraire, peuvent être comparées à une immense porte ouverte, par laquelle les groupes APT se sont engouffrés sans se faire prier.
C'est presque naturellement que les experts de Kaspersky ont découvert un module malveillant, caché derrière un logiciel qui à la base était censé fournir des fonctionnalités supplémentaires aux serveurs Web Microsoft. Sauf que celui-ci permet aux pirates de dérober les identifiants de connexion à Outlook Web Access. Ensuite, ils ont tout le loisir d'opérer, d'une façon à la fois furtive et difficilement détectable, un contrôle à distance sur le serveur sous-jacent.
Le malware Owowa se déploie très facilement via l'envoi de demandes qui paraissent inoffensives, puisque faites sous la forme de requêtes d'authentification à Outlook. Et si « les attaques ne semblent pas très sophistiquées », ce qui du point de vue du chercheur Paul Rascagnères semble être une bonne nouvelle, Owowa n'en demeure pas moins dangereux, car « il se maintient même en cas de mise à jour de Microsoft Exchange », nous explique-t-il, ce qui devrait faire de lui un vrai malware persistant. « Owowa est particulièrement dangereux car un attaquant peut l'utiliser pour voler passivement les identifiants d'utilisateurs qui accèdent légitimement à des services Web. C'est un moyen bien plus discret d'obtenir un accès à distance que l'envoi d'un e-mail de phishing », complète Pierre Delcher, autre chercheur du GReAT de Kaspersky.
Des cibles localisées en Asie, mais l'Europe ne serait pas épargnée
Plus simplement, comment les cybercriminels parviennent-ils à exploiter leur malware ? « Il suffit aux cybercriminels d'accéder à la page de connexion OWA d'un serveur piraté pour saisir des commandes spécialement conçues dans les champs du nom d'utilisateur et du mot de passe. Ainsi, ils peuvent s'infiltrer efficacement dans les réseaux ciblés et se maintenir au sein d'un serveur Exchange », décrit Kaspersky.
Plusieurs serveurs aujourd'hui compromis ont été identifiés en Asie par Kaspersky. Les cibles avérées se trouvent effectivement en Indonésie, en Malaisie, aux Philippines et en Mongolie. « La plupart étaient liées à des organisations gouvernementales et une autre à une société de transport d'État. Il est probable qu'il existe déjà d'autres victimes en Europe », redoute le spécialiste de la cybersécurité, qui ne peut pas en dire davantage publiquement à ce stade.
Pour l'instant, Kaspersky n'attribue pas de paternité à Owowa. L'entreprise n'a pour le moment trouvé aucun lien avec un acteur connu de la cybermenace, même si le nom d'utilisateur du groupe d'attaquants, « S3crt » (pour « secret »), a déjà été à l'origine de charges malveillantes par le passé. Pour le moment, cela reste de l'ordre de la supposition, et les informations manquent encore pour clairement identifier le groupe qui se cache derrière Owowa.
Pour se protéger de lui, Kaspersky recommande aux entreprises de surveiller de près les serveurs Exchange, qui restent « particulièrement sensibles et contiennent tous leurs échanges d'e-mails », explique Paul Rascagnères, qui conseille de « considérer tous les modules en cours d'exécution comme critiques et de les vérifier régulièrement », pour limiter les risques.
Faille Log4j : un nouveau correctif publié par Apache
