IT-Connect » Actualités » Actu Cybersécurité » Microsoft Exchange : les pirates volent des identifiants avec un module IIS

Actu Cybersécurité Entreprise 

Microsoft Exchange : les pirates volent des identifiants avec un module IIS

Florian BURNEL 1787 Views Aucun commentaire , , 1 min read

Afin de voler des identifiants de messagerie, des pirates informatiques installent un module nommé "Owowa" sur le serveur Web IIS associé au serveur Outlook Web Access. Ce module permet également d'exécuter des commandes à distance sur le serveur.

D'après les informations collectées sur le site VirusTotal, le module malveillant "Owowa" serait en circulation depuis 2020. La version la plus récente serait sortie en avril 2021, selon les données de télémétrie récoltées par Kaspersky.

Pour le moment, la France ne semble pas ciblée puisque les attaques concernent des serveurs basés en Asie : en Malaisie, Mongolie, Indonésie et aux Philippines. Plus précisément, ce sont des serveurs de messagerie appartenant à des organisations gouvernementales et des entreprises de transport public qui sont ciblées.

Depuis plusieurs mois, les serveurs de messagerie Microsoft Exchange représentent la cible idéale suite à la publication de plusieurs failles de sécurité critiques et exploitables à distance, notamment les failles ProxyLogon. Grâce à ce module IIS, les pirates peuvent déposer une porte dérobée persistante et difficile à détecter. C'est en envoyant une requête sur le Webmail du serveur Exchange (OWA) que le module "Owowa" parvient à réceptionner et exécuter la commande en toute discrétion.

Le module Owowa est capable de récolter les identifiants des utilisateurs qui s'authentifient sur le webmail Outlook Web Access. Lorsqu'un token d'authentification est généré par OWA, cela signifie que l'authentification est réussie, donc c'est à ce moment-là que le module malveillant récupère les informations. Plus précisément, le module Owowa récupère le nom d'utilisateur, le mot de passe, l'adresse IP de l'utilisateur, ainsi que la date et l'heure. Ensuite, le pirate n'a plus qu'à récupérer les informations collectées par le module Owowa.

En complément, l'attaquant peut exécuter des commandes à distance sur le serveur, notamment en s'appuyant sur PowerShell, toujours via le module Owowa.

Au sein de la console IIS, le module malveillant n'est pas forcément nommé "Owowa" mais plutôt "ExtenderControlDesigner" au sein du site "OWA" (correspondant à Outlook Web Access), comme vous pouvez le voir sur l'image ci-dessous.

Module IIS - owowa

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5573.Voir tous les posts

Vous pourrez aussi aimer

Patch Tuesday – Août 2018 : 63 vulnérabilités dont 20 critiques

Florian BURNEL 0
Qu'est-ce que le smart building

Qu’est-ce que le smart building ?

Florian BURNEL 0
Linux - Porte dérobée XZ Utils - Mars 2024 - CVE-2024-3094

Alerte de sécurité Linux : une porte dérobée a été intégrée dans XZ Utils !

Florian BURNEL 1

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.