Des chercheurs ont découvert un module IIS malveillant jusqu’alors inconnu, baptisé Owowa, qui vole les informations d’identification lorsque les utilisateurs se connectent à Microsoft Outlook Web Access.
« Le danger particulier d’Owowa est qu’un attaquant peut utiliser le module pour voler passivement les informations d’identification des utilisateurs qui accèdent légitimement aux services Web », explique-t-il.
Le module malveillant peut être chargé par un cyber-attaquant qui a un accès initial à l’environnement du serveur, expliquent les chercheurs.
« Le module est d’abord enregistré dans le cache global de l’assemblée, et peut ensuite être chargé par le serveur IIS qui exécute l’application OWA », selon Kaspersky.
Si le nom d’utilisateur OWA est Fb8v91c6tHiKsWzrulCeqO, le module malveillant supprime le contenu du journal des informations d’identification cryptées et renvoie la chaîne OK ;.
Les modules IIS malveillants, et en particulier Owowa, peuvent être identifiés à l’aide de la commande « Appcmd.exe » ou de l’outil de configuration IIS, qui répertorie tous les modules chargés sur un serveur IIS donné.