{"id":18281,"date":"2021-12-17T15:42:53","date_gmt":"2021-12-17T13:42:53","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=18281"},"modified":"2022-05-05T13:44:09","modified_gmt":"2022-05-05T11:44:09","slug":"owowa-weaponizing-web-mail-outlook","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/owowa-weaponizing-web-mail-outlook\/18281\/","title":{"rendered":"Un module malveillant OWOWA pour IIS"},"content":{"rendered":"<p>Un module malveillant pour <em>Internet Information Services (IIS)<\/em> transforme la version Web d\u2019Outlook en un outil qui vole les identifiants et en un panneau d\u2019acc\u00e8s \u00e0 distance. Des inconnus ont utilis\u00e9 ce module, que nos experts ont nomm\u00e9 OWOWA, pour lancer des attaques cibl\u00e9es.<\/p>\n<h2>Pourquoi la version Web d\u2019Outlook pla\u00eet aux cybercriminels<\/h2>\n<p>La version Web d\u2019Outlook (aussi connue comme Exchange Web Connect, Outlook Web Access, Outlook Web App, ou tout simplement OWA) est une interface bas\u00e9e sur le Web qui permet d\u2019acc\u00e9der au gestionnaire d\u2019informations personnelles (PMI) de Microsoft. L\u2019application est d\u00e9ploy\u00e9e sur les serveurs Web qui ex\u00e9cutent IIS.<\/p>\n<p>De nombreuses entreprises s\u2019en servent pour que les employ\u00e9s puissent acc\u00e9der \u00e0 distance \u00e0 leur adresse e-mail professionnelle et \u00e0 leur calendrier sans avoir \u00e0 installer un programme sp\u00e9cial. Plusieurs m\u00e9thodes permettent de mettre en place Outlook sur le Web, et une d\u2019elles consiste \u00e0 utiliser Exchange Server sur place, et c\u2019est exactement ce qui int\u00e9resse les cybercriminels. En th\u00e9orie, en prenant le contr\u00f4le de l\u2019application ils peuvent acc\u00e9der \u00e0 tous les \u00e9changes de messages professionnels, et profitent de nombreuses opportunit\u00e9s puisqu\u2019ils peuvent \u00e9tendre l\u2019attaque \u00e0 l\u2019infrastructure enti\u00e8re ou lancer d\u2019autres campagnes BEC.<\/p>\n<h2>Le fonctionnement de OWOWA<\/h2>\n<p>OWOWA se charge sur les serveurs Web IIS compromis en tant que module pour toutes les applications compatibles, mais son objectif est d\u2019intercepter les identifiants saisis sur OWA. Le malware v\u00e9rifie les demandes et les r\u00e9ponses sur la version Web de la page de connexion d\u2019Outlook, et s\u2019il constate qu\u2019un utilisateur a saisi les identifiants et a re\u00e7u un jeton d\u2019authentification en retour, il inclut le nom d\u2019utilisateur et le mot de passe dans un fichier (dans un format chiffr\u00e9).<\/p>\n<p>De plus, OWOWA permet aux cybercriminels de contr\u00f4ler les fonctionnalit\u00e9s directement depuis ce formulaire d\u2019authentification. En entrant une certaine commande dans les champs du nom d\u2019utilisateur et du mot de passe, un cybercriminel peut r\u00e9cup\u00e9rer les informations collect\u00e9es, supprimer le journal, ou ex\u00e9cuter des ordres arbitraires sur le serveur compromis via PowerShell.<\/p>\n<p>Nous vous invitons \u00e0 lire notre <a href=\"https:\/\/securelist.com\/owowa-credential-stealer-and-remote-access\/105219\/\" target=\"_blank\" rel=\"noopener\">article publi\u00e9 sur Securelist<\/a> pour avoir une description technique plus d\u00e9taill\u00e9e du module et pour conna\u00eetre les indicateurs de compromission.<\/p>\n<h2>Les victimes des attaques OWOWA<\/h2>\n<p>Nos experts ont d\u00e9tect\u00e9 des attaques qui reposent sur OWOWA dans les serveurs de plusieurs pays asiatiques\u00a0: Malaisie, Mongolie,\u00a0Indon\u00e9sie et Philippines. Pourtant, nos experts ont des raisons de croire que les entreprises bas\u00e9es en Europe pourraient aussi int\u00e9resser les cybercriminels.<\/p>\n<p>Les organismes publics sont la cible principale, mais on trouve aussi une entreprise de transport (qui appartient \u00e0 l\u2019\u00c9tat).<\/p>\n<h2>Comment se prot\u00e9ger contre OWOWA<\/h2>\n<p>Vous pouvez utiliser la commande appcmd.exe, ou l\u2019outil de configuration IIS habituel, pour d\u00e9tecter le module OWOWA malveillant (ou tout autre module IIS tiers) sur le serveur Web IIS. En revanche, n\u2019oubliez pas que n\u2019importe quel serveur ayant acc\u00e8s \u00e0 Internet, tout comme n\u2019importe quel ordinateur, doit \u00eatre bien <a href=\"https:\/\/www.kaspersky.fr\/small-to-medium-business-security?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">prot\u00e9g\u00e9<\/a>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb\">\n","protected":false},"excerpt":{"rendered":"<p>Le module malveillant pour Internet Information Services transforme la version Web d\u2019Outlook en un outil cybercriminel. <\/p>\n","protected":false},"author":2706,"featured_media":18282,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,3151],"tags":[25,505,4091,4242,1275],"class_list":{"0":"post-18281","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-applications-web","11":"tag-e-mail","12":"tag-exchange","13":"tag-menaces-internet","14":"tag-outlook"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/owowa-weaponizing-web-mail-outlook\/18281\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/owowa-weaponizing-web-mail-outlook\/23749\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/owowa-weaponizing-web-mail-outlook\/19249\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/owowa-weaponizing-web-mail-outlook\/9643\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/owowa-weaponizing-web-mail-outlook\/25949\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/owowa-weaponizing-web-mail-outlook\/23943\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/owowa-weaponizing-web-mail-outlook\/23601\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/owowa-weaponizing-web-mail-outlook\/26572\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/owowa-weaponizing-web-mail-outlook\/26183\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/owowa-weaponizing-web-mail-outlook\/32093\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/owowa-weaponizing-web-mail-outlook\/43145\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/owowa-weaponizing-web-mail-outlook\/18675\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/owowa-weaponizing-web-mail-outlook\/15621\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/owowa-weaponizing-web-mail-outlook\/27868\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/owowa-weaponizing-web-mail-outlook\/32226\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/owowa-weaponizing-web-mail-outlook\/27940\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/owowa-weaponizing-web-mail-outlook\/24687\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/owowa-weaponizing-web-mail-outlook\/30112\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/owowa-weaponizing-web-mail-outlook\/29903\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/applications-web\/","name":"applications web"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/18281","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=18281"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/18281\/revisions"}],"predecessor-version":[{"id":18284,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/18281\/revisions\/18284"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/18282"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=18281"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=18281"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=18281"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}