Les chercheurs en sécurité de Kaspersky sont récemment tombés sur un module malveillant permettant à des pirates de voler des identifiants de connexion à Outlook Web Access (OWA) et de contrôler le serveur sous-jacent. Le malware, baptisé Owowa, se déploie facilement via l’envoi de demandes en apparence inoffensive, en l’occurrence des requêtes d’authentification OWA.
Un malware discret et redoutable
Le module IIS, qui est censé fournir des fonctions supplémentaires aux serveurs web Microsoft, aurait été compilé entre la fin de l’année 2020 et le mois d’avril 2021. Les cibles avérées se situent en Asie du Sud-Est : Malaisie, Indonésie, Philippines, ainsi qu’en Mongolie. Kaspersky n’écarte pas la possibilité qu’il y ait eu des victime en Europe.
Les pirates accèdent à la page de connexion OWA d’un serveur infecté pour saisir des commandes spécialement conçues dans les champs du nom d’utilisateur et du mot de passe. L’efficacité de l’infiltration dans les réseaux ciblée est telle qu’ils peuvent se maintenir à l’intérieur du serveur Exchange sans donner l’alerte.
Owowa est particulièrement difficile à détecter via la surveillance du réseau, il résiste également aux mises à jour logicielles d’Exchange. De fait, il peut rester longtemps caché dans un appareil, attendant son heure pour commettre ses méfaits.
Kaspersky recommande de vérifier régulièrement les modules chargés sur les serveurs IIS exposés, notamment Exchange. Il est possible de contrôler les modules dans le cadre des activités de détection des menaces. Il faut aussi surveiller le trafic sortant pour repérer les connexions des pirates.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.