Depuis bientôt 3 semaines, les administrés des serveurs Microsoft Exchange sont systématiquement bombardés de « notes de service » bidon semblant émaner de leur DSI. Voici l’un d’entre eux, pris au hasard du spam
« Attention!
On October 16, 2009 server upgrade will take place. Due to this the system may be offline for approximately half an hour.
The changes will concern security, reliability and performance of mail service and the system as a whole.
For compatibility of your browsers and mail clients with upgraded server software you should run SSl certificates update procedure.
This procedure is quite simple. All you have to do is just to click the link provided, to save the patch file and then to run it from your computer location. That’s all. »
Poulet bien entendu suivi d’une URL empoisonnée semblant émaner précisément de l’un des responsables informatiques.
Après une première vague, que l’on espère rapidement muselée par nos chers « postmasters », une seconde déferlante s’est écrasées sur les plages smtp
« Subject: Microsoft Outlook Notification for the administrator@messagerie.fr
You have (6) New Message from Outlook Microsoft
– Please re-configure your Microsoft Outlook Again.
– Download attached setup file and install. »
Est-il nécessaire de préciser que la famille Borgia elle-même, ne saurait distiller un poison aussi radical que celui injecté dans ladite pièce attachée ?
Comme le faisait remarquer Pierre Caron du Cert-Lexsi les liens d’infection ou les pièces attachées étaient truffées avec de véritables morceaux de Zeus dans le cas des attaques à « pièces attachées », et sur une page de phishing ressemblant à un écran de logon OWA (Outlook Web Access) dans le premier cas.
L’attaque en question semble relativement ciblée. Elle vise effectivement des usagers Exchange, et, dans au moins 5 cas relevés par la rédaction de Cnis Mag, le nom de l’administrateur légitime figurait soit dans le lien, soit dans le corps du texte de phishing. On est donc loin d’une campagne de ratissage « tous azimuts », et ce sont clairement des « institutionnels » qui sont cette fois visés. Cette campagne de récupération de crédences semble trop bien orchestrée pour que l’on redoute une vague d’usurpation d’identités et de vol de documents dans les mois ou les semaines à venir. Serait-il temps de changer de mot de passe ?