Une nouvelle méthode d’attaque vise Outlook Web Application

Cybereason vient de découvrir un nouveau type d’attaque avancée persistante s’appuyant sur Outlook Web Application (OWA), l’interface Web d’accès à un serveur Exchange. Celle-ci visait notamment à collecter des identifiants de connexion.

Dans un document de synthèse, Cybereason explique avoir découvert cette attaque chez un prospect en phase de maquette : ses équipes de sécurité avaient détecter des comportements anormaux, « nous avons décidé ensemble de déployer notre plateforme sur tout son environnement composé de 19 000 terminaux ». De quoi donner lieu à un intéressant cas utilisateur sans nommer ce dernier.

Cybereason indique ainsi avoir découvert une DLL suspecte chargée par le serveur OWA : « elle portait le même nom qu’une autre DLL bénigne, mais elle n’était pas signée et provenait d’un autre dossier ». Une librairie à chargement dynamique qui n’est autre que OWAAUTH.dll, « utilisée par OWA dans le cadre du mécanisme d’authentification » des utilisateurs auprès de l’annuaire Active Directory. Cette librairie joue donc un rôle clé et, comme le souligne Cybereason, en prendre le contrôle, revient à prendre celui « de tous les identifiants du domaine d’une organisation ». De fait, le remplacement de la DLL légitime par une version compromise donnait accès aux attaquants à l’ensemble des identifiants transmis, en clair. Peut importe qu’ils aient été transmis via un lien SSL/TLS.

Le composant logiciel malveillant stockait sa moisson dans un fichier log.txt stocké sur la partition de démarrage, chiffré en DES avec des valeurs clés simples : « 1245678 ». En déchiffrant le fichier, Cybereason a découvert que les pirates avaient réussi à compromettre les identifiants de 11 000 utilisateurs. Ils se sont maintenus dans l’organisation victime « pendant plusieurs mois ». La jeune pousse n’indique pas exactement combien de temps il s’est écoulé entre la décision de déployer ses outils et la découverte effective de l’attaque. Elle se contente d’indiquer que sa plateforme a « immédiatement souligner comment le serveur OWA était compromis et fourni une visibilité claire sur la machine affectée ».

Si Cybereason utilise – légitimement – cette expérience pour mettre en avant ses produits, son compte-rendu plaide aussi pour l’activation de l’authentification par jetons sur OWA, dans le cadre d’un système de SSO ou d’authentification à facteurs multiples, en profitant de Windows Identity Foundation.  

Cybereason fait partie de ces pépites de la détection d’intrusion qui ont été mises en avant à l’occasion de l’Innovation Sandbox de l’édition 2015 de RSA Conference.

Sa technologie s’appuie sur un agent résident, déployé sur les postes de travail – comme le fait celle de SentinelOne, autre distingué de l’Innovation Sandbox. Cet agent consomme 2 % de ressources CPU pour 50 Mo de mémoire vive, et transmet environ 1 Mo de données par jour au cœur de l’outil : le moteur d’analyse Malop. Celui-ci doit permettre de profiler les activités malicieuses, pour détecter des menaces connues, mais aussi et surtout « révéler des attaques inconnus » pour lesquelles aucune signature n’existe encore.

Surtout, le moteur d’analyse s’appuie des informations externes, comme des indicateurs de compromission tiers pour chercher à déterminer le cheminement de l’attaque, en interne comme à l’extérieur. De quoi rappeler la technologie AMP de Sourcefire (Cisco). Une console permet de visualiser ces informations.