Un module malveillant pour Internet Information Services (IIS) transforme la version Web d’Outlook en un outil qui vole les identifiants et en un panneau d’accès à distance. Des inconnus ont utilisé ce module, que nos experts ont nommé OWOWA, pour lancer des attaques ciblées.
Pourquoi la version Web d’Outlook plaît aux cybercriminels
La version Web d’Outlook (aussi connue comme Exchange Web Connect, Outlook Web Access, Outlook Web App, ou tout simplement OWA) est une interface basée sur le Web qui permet d’accéder au gestionnaire d’informations personnelles (PMI) de Microsoft. L’application est déployée sur les serveurs Web qui exécutent IIS.
De nombreuses entreprises s’en servent pour que les employés puissent accéder à distance à leur adresse e-mail professionnelle et à leur calendrier sans avoir à installer un programme spécial. Plusieurs méthodes permettent de mettre en place Outlook sur le Web, et une d’elles consiste à utiliser Exchange Server sur place, et c’est exactement ce qui intéresse les cybercriminels. En théorie, en prenant le contrôle de l’application ils peuvent accéder à tous les échanges de messages professionnels, et profitent de nombreuses opportunités puisqu’ils peuvent étendre l’attaque à l’infrastructure entière ou lancer d’autres campagnes BEC.
Le fonctionnement de OWOWA
OWOWA se charge sur les serveurs Web IIS compromis en tant que module pour toutes les applications compatibles, mais son objectif est d’intercepter les identifiants saisis sur OWA. Le malware vérifie les demandes et les réponses sur la version Web de la page de connexion d’Outlook, et s’il constate qu’un utilisateur a saisi les identifiants et a reçu un jeton d’authentification en retour, il inclut le nom d’utilisateur et le mot de passe dans un fichier (dans un format chiffré).
De plus, OWOWA permet aux cybercriminels de contrôler les fonctionnalités directement depuis ce formulaire d’authentification. En entrant une certaine commande dans les champs du nom d’utilisateur et du mot de passe, un cybercriminel peut récupérer les informations collectées, supprimer le journal, ou exécuter des ordres arbitraires sur le serveur compromis via PowerShell.
Nous vous invitons à lire notre article publié sur Securelist pour avoir une description technique plus détaillée du module et pour connaître les indicateurs de compromission.
Les victimes des attaques OWOWA
Nos experts ont détecté des attaques qui reposent sur OWOWA dans les serveurs de plusieurs pays asiatiques : Malaisie, Mongolie, Indonésie et Philippines. Pourtant, nos experts ont des raisons de croire que les entreprises basées en Europe pourraient aussi intéresser les cybercriminels.
Les organismes publics sont la cible principale, mais on trouve aussi une entreprise de transport (qui appartient à l’État).
Comment se protéger contre OWOWA
Vous pouvez utiliser la commande appcmd.exe, ou l’outil de configuration IIS habituel, pour détecter le module OWOWA malveillant (ou tout autre module IIS tiers) sur le serveur Web IIS. En revanche, n’oubliez pas que n’importe quel serveur ayant accès à Internet, tout comme n’importe quel ordinateur, doit être bien protégé.