Une récente campagne de cyberattaques a compromis plus de 70 serveurs Microsoft Exchange dans 26 pays en injectant des keyloggers basés sur JavaScript dans les pages de connexion d'Outlook Web Access (OWA). Consultez les détails de cet avis de menace à la cybersécurité pour vous protéger contre ces vulnérabilités.
Nature de la menace
Cette campagne, active depuis au moins 2021, cible les serveurs Microsoft Exchange avec OWA activé. Les hackers injectent des enregistreurs de frappe malveillants basés sur JavaScript dans les pages de connexion OWA pour capturer les noms d'utilisateur et les mots de passe lorsque les utilisateurs se connectent. Les identifiants volés sont soit stockés localement sur le serveur, soit exfiltrés à l'aide de tunnels DNS ou de bots Telegram. La campagne cible principalement les agences gouvernementales, les entreprises informatiques et les secteurs industriels en exploitant les vulnérabilités d'Exchange non corrigées. Sa nature furtive et son faible taux de détection rendent l'application immédiate des correctifs, l'audit des scripts et la surveillance du trafic cruciaux pour la défense.
Pourquoi est-ce important ?
Le code JavaScript malicieux est conçu pour lire et traiter les données des formulaires d'authentification, puis envoyer ces informations par une requête XHR à une page désignée sur un serveur Exchange compromis. Le code source de la page cible comprend une fonction de traitement qui capture la requête entrante et écrit les données dans un fichier sur le serveur.
La chaîne d'attaque commence par exploiter les vulnérabilités connues du serveur Microsoft Exchange, telles que ProxyShell, pour injecter du code de keylogger dans la page de connexion. L'identité des acteurs malveillants responsables reste inconnue à ce jour. Certaines des vulnérabilités exploitées sont énumérées ci-dessous :
- CVE-2014-4078 – Vulnérabilité de contournement de la fonctionnalité de sécurité IIS
- CVE-2020-0796 — Vulnérabilité d'exécution de code à distance du client/serveur Windows SMBv3.
- CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 et CVE-2021-27065 – Vulnérabilité d'exécution de code à distance sur Microsoft Exchange serveur (ProxyLogon).
- CVE-2021-31206 – Vulnérabilité d'exécution de code à distance du serveur Microsoft Exchange.
- CVE-2021-31207, CVE-2021-34473 et CVE-2021-34523 – Vulnérabilité de contournement de la fonctionnalité de sécurité du serveur Microsoft Exchange (ProxyShell).
Quel est le degré d'exposition ou le risque ?
Ce fichier, qui contient les données volées, est accessible depuis un réseau externe. Des variantes équipées de capacités d'enregistrement de frappe local ont également été découvertes, qui collectent les cookies des utilisateurs, les chaînes de caractères de l'agent utilisateur et les horodatages. L'un des principaux avantages de cette méthode est le risque minimal de détection. La transmission des informations n'implique aucun trafic sortant.
Jusqu'à présent, au moins 22 serveurs compromis ont été identifiés au sein des agences gouvernementales. Les autres secteurs touchés comprennent l'informatique, la logistique et l'industrie. Les principaux pays ciblés sont le Vietnam, la Russie, Taïwan, la Chine, le Pakistan, le Liban, l'Australie, la Zambie, les Pays-Bas et la Turquie.
Quelles sont les recommandations ?
Barracuda recommande les mesures suivantes pour protéger votre environnement contre cette menace :
- Appliquez les derniers correctifs de sécurité à tous les serveurs Microsoft Exchange. Vérifiez régulièrement les mises à jour et appliquez-les rapidement pour réduire les vulnérabilités connues.
- Limitez l'accès aux serveurs Exchange uniquement à ceux qui en ont absolument besoin. Utilisez des contrôles d'accès basés sur les rôles (RBAC) pour appliquer le principe du moindre privilège.
- Adoptez une détection et une réponse aux menaces étendues, telles que Barracuda Managed XDR Endpoint Security, pour surveiller les points de terminaison à la recherche d'activités suspectes, notamment la détection et le blocage de scripts malveillants, l'installation de logiciels non autorisés tels que les enregistreurs de frappe, et pour détecter des tentatives de connexion inhabituelles ou des modèles d'accès qui pourraient indiquer un compte ou un serveur compromis.
- Appliquez l'authentification multi-facteurs (MFA) pour tous les utilisateurs accédant au serveur Exchange afin d'ajouter une couche de sécurité supplémentaire au-delà des mots de passe.
Comment Barracuda peut-il vous protéger contre cette menace ?
Barracuda a récemment lancé son service Managed Vulnerability Security, une solution entièrement gérée qui détecte et hiérarchise de manière proactive les vulnérabilités sur les serveurs, les points de terminaison, les périphériques réseau et l'infrastructure cloud. Face à des menaces telles que la campagne de keylogger JavaScript OWA, ce service permet d'identifier les serveurs Exchange non corrigés et les mauvaises configurations avant que les pirates ne puissent les exploiter. Associé aux fonctionnalités de détection de menace en temps réel et de réponse aux incidents de Barracuda Managed XDR, il permet d'adopter une stratégie de défense en profondeur, de combler les failles de sécurité tout en identifiant les événements de connexion suspects ou les mouvements latéraux. Cette approche unifiée (analyse de vulnérabilité associée au moteur de détection de XDR) aide les entreprises à garder une longueur d'avance sur les menaces avancées, à réduire la complexité des fournisseurs et à renforcer leur posture de sécurité globale.
RÉFÉRENCES
Pour des informations plus détaillées, veuillez vous rendre sur les sites suivants :
- https://thehackernews.com/2025/06/hackers-target-65-microsoft-exchange.html
- https://securityaffairs.com/163521/breaking-news/microsoft-exchange-server-flaws-attacks.html
- https://www.barracuda.com/company/news/2025/barracuda-launches-managed-vulnerability-security
Si vous avez des questions sur cet avis de menace de cybersécurité, n'hésitez pas à contacter le centre d'opérations de sécurité de Barracuda Managed XDR.
Remarque : cet article de blog a été initialement publié sur SmarterMSP.com.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter