Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman perisian hasad Setuju Kepada Alat Tambahan Outlook Berniat Jahat

Setuju Kepada Alat Tambahan Outlook Berniat Jahat

Menjelang Mezo pada perisian hasad, Ancaman Berterusan Lanjutan (APT)
Terjemahkan ke

Penyelidik keselamatan siber telah menemui apa yang dipercayai sebagai alat tambah Microsoft Outlook berniat jahat pertama yang dikesan di alam liar. Kempen yang diberi nama kod AgreeToSteal itu mewakili serangan rantaian bekalan baharu dan membimbangkan yang menyalahgunakan kepercayaan dalam ekosistem alat tambah Microsoft Office.

Dalam kejadian ini, seorang pelaku ancaman telah merampas domain yang dikaitkan dengan alat tambah Outlook yang terbengkalai namun sah. Dengan menggunakan semula infrastruktur yang telah tamat tempoh, penyerang telah menggunakan halaman log masuk Microsoft palsu dan berjaya memperoleh lebih daripada 4,000 kelayakan pengguna.

Penemuan ini menandakan fasa baharu dalam ancaman rantaian bekalan berasaskan pasaran, kali ini menyasarkan perisian produktiviti perusahaan sebagai terasnya.

Daripada Alat Produktiviti kepada Vektor Pancingan Data

Alat tambah yang dikompromi, yang dikenali sebagai AgreeTo, pada asalnya dibangunkan untuk membantu pengguna menyatukan berbilang kalendar dan berkongsi ketersediaan melalui e-mel. Ia terakhir dikemas kini pada Disember 2022.

Tidak seperti kempen pengedaran malware tradisional, serangan ini tidak melibatkan pengeksploitasian kerentanan dalam pangkalan kod. Sebaliknya, ia memanfaatkan kelemahan struktur dalam cara alat tambah Office berfungsi. Penyelidik mengklasifikasikan ini sebagai variasi serangan yang diperhatikan sebelum ini yang menjejaskan sambungan pelayar, pakej npm dan pemalam IDE, saluran pengedaran yang dipercayai di mana kandungan yang diluluskan kemudiannya boleh diubah tanpa mencetuskan penelitian.

Tambahan pejabat memperkenalkan risiko yang lebih tinggi disebabkan oleh beberapa faktor pengkompaunan:

  • Ia dilaksanakan secara langsung dalam Outlook, di mana komunikasi yang sangat sensitif dikendalikan.
  • Mereka mungkin meminta kebenaran yang berkuasa, termasuk keupayaan untuk membaca dan mengubah suai e-mel.
  • Ia diedarkan melalui kedai rasmi Microsoft, mewarisi kepercayaan pengguna tersirat.

Kes AgreeTo menggariskan realiti kritikal: pembangun asal tidak melakukan apa-apa yang berniat jahat. Produk yang sah telah dicipta dan kemudian ditinggalkan. Serangan itu mengeksploitasi jurang antara pengabaian projek dan pengawasan pasaran.

Memanfaatkan Seni Bina Tambahan Pejabat

Inti kejadian ini terletak pada reka bentuk alat tambah Office. Pembangun menghantar alat tambah mereka melalui Pusat Rakan Kongsi Microsoft, di mana penyelesaian tersebut akan disemak dan diluluskan. Walau bagaimanapun, kelulusan sebahagian besarnya terikat pada fail manifes, bukan pakej kod statik.

Tambahan Office berbeza secara asasnya daripada perisian konvensional. Fail manifes menentukan URL daripada menghantar kod yang dibundel. Setiap kali tambahan dibuka di dalam Outlook, aplikasi akan mengambil kandungan langsung daripada URL tersebut dan memaparkannya dalam iframe.

Model seni bina ini memperkenalkan pendedahan kritikal: setelah diluluskan dan ditandatangani, tambahan terus memuatkan apa sahaja kandungan yang disiarkan oleh URL yang dirujuk dalam masa nyata. Jika kawalan URL tersebut berubah, disebabkan oleh tamat tempoh domain atau pengabaian infrastruktur, kandungan berniat jahat boleh diperkenalkan tanpa mengubah suai manifes yang ditandatangani.

Dalam kes AgreeTo, manifes tersebut merujuk kepada URL yang dihoskan oleh Vercel (outlook-one.vercel[.]app). Selepas penggunaan pembangun dipadamkan dan projek tersebut secara efektifnya menjadi perisian pengabaian sekitar tahun 2023, URL tersebut boleh dituntut. Seorang penyerang merampas kawalannya sementara tambahan tersebut kekal disenaraikan di gedung Microsoft.

Sehingga laporan dibuat, infrastruktur tersebut masih aktif.

Pelaksanaan Phishing dan Pengekstrakan Kelayakan

Selepas mendakwa penggunaan yang terbengkalai, penyerang itu mengehoskan kit pancingan data pada URL yang dirujuk. Kandungan berniat jahat itu memaparkan halaman log masuk Microsoft palsu yang direka untuk mendapatkan kelayakan pengguna.

Kata laluan yang ditangkap telah diekstrak menggunakan API Telegram Bot. Mangsa kemudiannya dialihkan ke halaman log masuk Microsoft yang sah, sekali gus mengurangkan syak wasangka dan meningkatkan kemungkinan kecurian kelayakan yang berjaya.

Walaupun aktiviti yang diperhatikan tertumpu pada penuaian kelayakan, para penyelidik memberi amaran bahawa kesannya mungkin jauh lebih teruk. Alat tambah dikonfigurasikan dengan kebenaran ReadWriteItem, yang membolehkan keupayaan untuk membaca dan mengubah suai e-mel pengguna. Aktor ancaman yang lebih agresif mungkin telah menggunakan JavaScript yang mampu mengeluarkan kandungan peti mel secara senyap, mewujudkan vektor pengintipan yang berkuasa dalam persekitaran perusahaan.

Jurang Pengawasan Pasaran dengan Implikasi yang Lebih Luas

Microsoft menyemak manifes tambahan semasa proses penyerahan awal, tetapi tiada pengesahan berterusan terhadap kandungan langsung yang disampaikan oleh URL yang dirujuk selepas kelulusan. Ini mewujudkan jurang kepercayaan struktur: manifes ditandatangani sekali, namun kandungan jauh yang dirujuknya boleh berubah selama-lamanya.

Alat tambah AgreeTo telah ditandatangani pada Disember 2022. Walaupun kandungan asal adalah sah pada masa kelulusan, URL yang sama kini menyediakan kit pancingan data dan alat tambah tersebut kekal tersedia di kedai.

Isu ini melangkaui ekosistem Microsoft. Mana-mana pasaran yang meluluskan penyerahan sekali tanpa pemantauan berterusan terhadap kebergantungan dinamik jarak jauh terdedah kepada risiko yang serupa. Kelemahan struktur adalah konsisten merentasi platform: lulus sekali, percaya selama-lamanya.

Mitigasi Strategik untuk Mengurangkan Risiko Pasaran

Untuk menangani kelemahan sistemik yang didedahkan oleh AgreeToSteal, pakar keselamatan mengesyorkan beberapa langkah balas:

  • Cetuskan semakan semula automatik apabila URL rujukan alat tambah mula menyiarkan kandungan yang berbeza secara material daripada apa yang diulas pada asalnya.
  • Laksanakan pengesahan pemilikan domain untuk mengesahkan bahawa infrastruktur kekal di bawah kawalan pembangun dan tandakan alat tambah di tempat pemilikan hosting berubah.
  • Tetapkan mekanisme untuk menyahsenarai atau memberi amaran kepada pengguna tentang tambahan yang belum dikemas kini dalam jangka masa yang ditetapkan.
  • Paparkan kiraan pemasangan untuk membantu menilai pendedahan dan potensi impak.

Pemantauan berterusan terhadap kandungan langsung, dan bukannya bergantung semata-mata pada kelulusan manifes statik, adalah penting untuk mengurangkan risiko rantaian bekalan dalam ekosistem peluasan moden.

Seruan Kebangkitan untuk Model Kepercayaan Kebergantungan Dinamik

Kempen AgreeToSteal menggambarkan cabaran asas dalam model pengedaran perisian kontemporari. Alat tambah Office, sambungan pelayar dan alat yang dihoskan di pasaran yang serupa kerap bergantung pada kandungan jauh yang disajikan secara dinamik.

Tanpa pengimbasan semula dan pemantauan tingkah laku berkala, aplikasi yang dipercayai boleh berkembang secara senyap menjadi vektor serangan.

Kes ini berfungsi sebagai amaran kepada pengendali platform dan pembela perusahaan: kepercayaan mesti disahkan secara berterusan, terutamanya apabila infrastruktur jarak jauh dan kebergantungan dinamik terlibat.

Trending

Paling banyak dilihat

Memuatkan...