أوافق على إضافة Outlook الخبيثة

كشف باحثو الأمن السيبراني عما يُعتقد أنه أول إضافة خبيثة معروفة لبرنامج مايكروسوفت أوتلوك يتم رصدها في بيئة حقيقية. تمثل هذه الحملة، التي تحمل الاسم الرمزي "AgreeToSteal"، هجومًا جديدًا ومقلقًا على سلسلة التوريد، يستغل الثقة في نظام إضافات مايكروسوفت أوفيس.

في هذه الحادثة، قام أحد المهاجمين باختراق النطاق المرتبط بإضافة Outlook مهجورة ولكنها شرعية. ومن خلال إعادة استخدام البنية التحتية المنتهية الصلاحية، قام المهاجم بنشر صفحة تسجيل دخول مزيفة لشركة Microsoft ونجح في جمع بيانات اعتماد أكثر من 4000 مستخدم.

يشير هذا الاكتشاف إلى مرحلة جديدة في التهديدات التي تواجه سلاسل التوريد القائمة على السوق، وهذه المرة تستهدف برامج إنتاجية المؤسسات في جوهرها.

من أداة إنتاجية إلى وسيلة للتصيد الاحتيالي

تم تطوير الإضافة المخترقة، والمعروفة باسم AgreeTo، في الأصل لمساعدة المستخدمين على دمج تقاويم متعددة ومشاركة أوقات التوافر عبر البريد الإلكتروني. وكان آخر تحديث لها في ديسمبر 2022.

على عكس حملات توزيع البرمجيات الخبيثة التقليدية، لم يستغل هذا الهجوم ثغرة أمنية في قاعدة التعليمات البرمجية. بل استغل نقطة ضعف هيكلية في طريقة عمل إضافات Office. يصنف الباحثون هذا الهجوم على أنه شكل من أشكال الهجمات التي رُصدت سابقًا والتي تؤثر على إضافات المتصفح، وحزم npm، ومكونات IDE الإضافية، وهي قنوات توزيع موثوقة حيث يمكن تغيير المحتوى المعتمد لاحقًا دون إثارة أي تدقيق.

تُضيف الإضافات المكتبية مخاطر متزايدة بسبب عدة عوامل متراكمة:

• يتم تنفيذها مباشرة داخل برنامج Outlook، حيث تتم معالجة الاتصالات شديدة الحساسية.
• قد يطلبون أذونات قوية، بما في ذلك القدرة على قراءة وتعديل رسائل البريد الإلكتروني.
• يتم توزيعها من خلال متجر مايكروسوفت الرسمي، مما يمنحها ثقة المستخدمين الضمنية.

تُبرز قضية AgreeTo حقيقةً بالغة الأهمية: لم يرتكب المطور الأصلي أي فعل خبيث. فقد تم إنشاء منتج مشروع ثم تم التخلي عنه لاحقًا. واستغل الهجوم الفجوة بين التخلي عن المشروع ورقابة السوق.

استغلال بنية إضافات Office

يكمن جوهر المشكلة في تصميم إضافات Office. يُقدّم المطورون إضافاتهم عبر مركز شركاء Microsoft، حيث تخضع الحلول للمراجعة والموافقة. مع ذلك، ترتبط الموافقة بشكل كبير بملف البيان، وليس بحزمة التعليمات البرمجية الثابتة.

تختلف إضافات Office اختلافًا جوهريًا عن البرامج التقليدية. فبدلاً من تضمين التعليمات البرمجية، يحدد ملف البيان عنوان URL. وفي كل مرة يتم فيها فتح الإضافة داخل Outlook، يسترجع التطبيق المحتوى المباشر من عنوان URL هذا ويعرضه داخل إطار iframe.

يُشكّل هذا النموذج المعماري ثغرةً خطيرة: فبمجرد الموافقة على الإضافة وتوقيعها، تستمر في تحميل أي محتوى يُقدّمه عنوان URL المُشار إليه في الوقت الفعلي. وإذا تغيّر التحكم في هذا العنوان، نتيجةً لانتهاء صلاحية النطاق أو التخلي عن البنية التحتية، يُمكن إدخال محتوى ضار دون تعديل البيان المُوقّع.

في حالة AgreeTo، أشار ملف البيان إلى عنوان URL مُستضاف على Vercel (outlook-one.vercel[.]app). بعد حذف نشر المطور، وتحول المشروع فعليًا إلى برنامج مهجور في عام 2023 تقريبًا، أصبح عنوان URL قابلاً للاسترداد. استولى مهاجم عليه بينما بقي الملحق مُدرجًا في متجر Microsoft.

وحتى وقت كتابة هذا التقرير، لا تزال البنية التحتية نشطة.

تنفيذ عمليات التصيد الاحتيالي وسرقة بيانات الاعتماد

بعد الاستيلاء على عملية النشر المهجورة، قام المهاجم بنشر حزمة تصيد احتيالي على عنوان URL المشار إليه. وعرض المحتوى الخبيث صفحة تسجيل دخول مزيفة لشركة مايكروسوفت مصممة لسرقة بيانات اعتماد المستخدم.

تم استخراج كلمات المرور المسروقة باستخدام واجهة برمجة تطبيقات بوت تيليجرام. ثم أُعيد توجيه الضحايا إلى صفحة تسجيل الدخول الرسمية لمايكروسوفت، مما قلل من الشكوك وزاد من احتمالية نجاح سرقة بيانات الاعتماد.

على الرغم من أن النشاط المرصود ركز على جمع بيانات الاعتماد، يحذر الباحثون من أن التأثير كان من الممكن أن يكون أشد وطأة. فقد تم ضبط الإضافة بصلاحيات القراءة والكتابة، مما يتيح قراءة رسائل البريد الإلكتروني للمستخدمين وتعديلها. وكان من الممكن لجهة تهديد أكثر شراسة أن تنشر جافا سكريبت قادرة على تسريب محتويات صناديق البريد خلسةً، مما يخلق ثغرة تجسسية خطيرة داخل بيئات المؤسسات.

ثغرة في الرقابة على السوق ذات آثار أوسع

تُراجع مايكروسوفت بيانات الإضافات أثناء عملية التقديم الأولية، ولكن لا يوجد تحقق مستمر من المحتوى المباشر الذي تُقدمه عناوين URL المُشار إليها بعد الموافقة. وهذا يُنشئ فجوة هيكلية في الثقة: فبيان الإضافة يُوقع مرة واحدة، ومع ذلك قد يتغير المحتوى البعيد الذي يُشير إليه باستمرار.

تم توقيع إضافة AgreeTo في ديسمبر 2022. على الرغم من أن المحتوى الأصلي كان شرعيًا في وقت الموافقة، إلا أن نفس عنوان URL يخدم الآن مجموعة أدوات التصيد الاحتيالي، ولا تزال الإضافة متاحة في المتجر.

لا تقتصر هذه المشكلة على بيئة مايكروسوفت فحسب، بل تشمل أي سوق إلكتروني يُوافق على طلبٍ ما مرةً واحدةً دون مراقبة مستمرة للتبعيات الديناميكية البعيدة، إذ يتعرض لمخاطر مماثلة. ويتجلى الضعف الهيكلي في جميع المنصات: الموافقة مرةً واحدةً، والثقة إلى أجل غير مسمى.

إجراءات تخفيف استراتيجية للحد من مخاطر السوق

لمعالجة نقاط الضعف النظامية التي كشف عنها برنامج AgreeToSteal، يوصي خبراء الأمن بعدة تدابير مضادة:

• تشغيل عمليات إعادة المراجعة التلقائية عندما يبدأ عنوان URL المشار إليه في الإضافة في عرض محتوى يختلف اختلافًا جوهريًا عما تمت مراجعته في الأصل.
• قم بتنفيذ التحقق من ملكية النطاق للتأكد من أن البنية التحتية لا تزال تحت سيطرة المطور، وقم بالإبلاغ عن الإضافات التي تتغير فيها ملكية الاستضافة.
• قم بوضع آليات لإزالة الإضافات التي لم يتم تحديثها خلال فترات زمنية محددة أو تحذير المستخدمين بشأنها.
• تُستخدم عمليات تثبيت الشاشات للمساعدة في تقييم التعرض والتأثير المحتمل.

يُعد الرصد المستمر للمحتوى المباشر، بدلاً من الاعتماد فقط على الموافقة الثابتة على البيانات، أمرًا ضروريًا للتخفيف من مخاطر سلسلة التوريد في النظم البيئية الحديثة للتوسع الزراعي.

دعوة للاستيقاظ لنماذج الثقة الديناميكية القائمة على التبعية

تُجسّد حملة "أوافق على السرقة" تحديًا جوهريًا في نماذج توزيع البرامج المعاصرة. فإضافات Office، وملحقات المتصفح، والأدوات المماثلة المستضافة في المتاجر الإلكترونية، تعتمد في كثير من الأحيان على محتوى يتم تقديمه عن بُعد وبشكل ديناميكي.

بدون إعادة المسح الدوري ومراقبة السلوك، يمكن للتطبيقات الموثوقة أن تتطور بصمت إلى نقاط ضعف للهجوم.

تُعد هذه الحالة بمثابة تحذير لمشغلي المنصات ومدافعي المؤسسات على حد سواء: يجب التحقق من الثقة باستمرار، لا سيما عند وجود بنية تحتية بعيدة وتبعيات ديناميكية.