Godta skadelig Outlook-tillegg

Med Mezo i Skadelig programvare, Advanced Persistent Threat (APT)

Oversett til:

Forskere på nettsikkerhet har avdekket det som antas å være det første kjente, skadelige Microsoft Outlook-tillegget som er oppdaget i virkeligheten. Kampanjen, med kodenavnet AgreeToSteal, representerer et nytt og problematisk angrep på forsyningskjeden som misbruker tilliten til Microsofts økosystem for Office-tillegg.

I denne hendelsen kapret en trusselaktør domenet som var knyttet til et forlatt, men legitimt Outlook-tillegg. Ved å gi den utløpte infrastrukturen nytt formål, distribuerte angriperen en forfalsket Microsoft-påloggingsside og klarte å høste mer enn 4000 brukerlegitimasjon.

Denne oppdagelsen signaliserer en ny fase i markedsbaserte trusler fra forsyningskjeden, denne gangen rettet mot programvare for bedriftsproduktivitet i kjernen.

Innholdsfortegnelse

Fra produktivitetsverktøy til phishing-vektor

Det kompromitterte tillegget, kjent som AgreeTo, ble opprinnelig utviklet for å hjelpe brukere med å konsolidere flere kalendere og dele tilgjengelighet via e-post. Det ble sist oppdatert i desember 2022.

I motsetning til tradisjonelle kampanjer for distribusjon av skadelig programvare, involverte ikke dette angrepet utnyttelse av en sårbarhet i kodebasen. I stedet utnyttet det en strukturell svakhet i hvordan Office-tillegg fungerer. Forskere klassifiserer dette som en variant av tidligere observerte angrep som påvirker nettleserutvidelser, npm-pakker og IDE-pluginer, pålitelige distribusjonskanaler der godkjent innhold senere kan endres uten at det utløser gransking.

Office-tillegg introduserer økt risiko på grunn av flere sammensatte faktorer:

De kjøres direkte i Outlook, der svært sensitiv kommunikasjon håndteres.
De kan be om omfattende tillatelser, inkludert muligheten til å lese og endre e-poster.
De distribueres gjennom Microsofts offisielle butikk, og arver implisitt brukertillit.

AgreeTo-saken understreker en kritisk realitet: den opprinnelige utvikleren gjorde ingenting ondsinnet. Et legitimt produkt ble laget og senere forlatt. Angrepet utnyttet gapet mellom prosjektforlatelse og markedstilsyn.

Utnytte Office-tilleggsarkitekturen

Kjernen i hendelsen ligger utformingen av Office-tillegg. Utviklere sender inn tilleggene sine via Microsofts partnersenter, hvor løsningen gjennomgås og godkjennes. Godkjenning er imidlertid i stor grad knyttet til en manifestfil, ikke en statisk kodepakke.

Office-tillegg er fundamentalt forskjellige fra konvensjonell programvare. Manifestfilen spesifiserer en URL-adresse i stedet for å levere medfølgende kode. Hver gang tillegget åpnes i Outlook, henter programmet live-innhold fra URL-adressen og gjengir det i en iframe.

Denne arkitekturmodellen introduserer en kritisk risiko: Når tillegget er godkjent og signert, fortsetter det å laste inn innholdet som den refererte URL-en viser i sanntid. Hvis kontrollen over URL-en endres, på grunn av domenets utløp eller forlatelse av infrastrukturen, kan skadelig innhold introduseres uten å endre det signerte manifestet.

I AgreeTo-tilfellet refererte manifestet til en Vercel-basert URL (outlook-one.vercel[.]app). Etter at utviklerens distribusjon ble slettet og prosjektet i praksis ble abandonware rundt 2023, ble URL-en gjort krav på. En angriper tok kontroll over den mens tillegget forble oppført i Microsofts store.

Per rapporteringstidspunktet er infrastrukturen fortsatt aktiv.

Phishing-kjøring og legitimasjonsutpressing

Etter å ha gjort krav på den forlatte utplasseringen, var angriperen vert for et phishing-sett på den refererte URL-en. Det skadelige innholdet viste en falsk Microsoft-påloggingsside som var utformet for å fange brukerlegitimasjon.

Innsamlede passord ble stjålet ved hjelp av Telegram Bot API. Ofrene ble deretter omdirigert til den legitime Microsoft-innloggingssiden, noe som reduserte mistanken og økte sannsynligheten for vellykket legitimasjonstyveri.

Selv om den observerte aktiviteten fokuserte på innsamling av legitimasjon, advarer forskere om at virkningen kunne ha vært betydelig mer alvorlig. Tillegget ble konfigurert med ReadWriteItem-tillatelser, noe som muliggjorde muligheten til å lese og endre brukernes e-poster. En mer aggressiv trusselaktør kunne ha distribuert JavaScript som er i stand til å stille utvinne innhold fra postkasser, og dermed skapt en kraftig spionasjevektor i bedriftsmiljøer.

Et gap i markedstilsynet med bredere implikasjoner

Microsoft gjennomgår tilleggsmanifester under den første innsendingsprosessen, men det er ingen kontinuerlig validering av det aktive innholdet som serveres av de refererte URL-ene etter godkjenning. Dette skaper et strukturelt tillitsgap: manifestet signeres én gang, men det eksterne innholdet det refererer til kan endres på ubestemt tid.

AgreeTo-tillegget ble signert i desember 2022. Selv om det opprinnelige innholdet var legitimt på godkjenningstidspunktet, serverer den samme URL-en nå et phishing-sett, og tillegget er fortsatt tilgjengelig i butikken.

Dette problemet strekker seg utover Microsofts økosystem. Enhver markedsplass som godkjenner en innsending én gang uten kontinuerlig overvåking av eksterne dynamiske avhengigheter er utsatt for lignende risikoer. Den strukturelle svakheten er konsistent på tvers av plattformer: godkjenn én gang, stol på ubestemt tid.

Strategiske tiltak for å redusere markedsrisiko

For å håndtere de systemiske svakhetene som ble avdekket av AgreeToSteal, anbefaler sikkerhetseksperter flere mottiltak:

Utløs automatiske nye vurderinger når den refererte URL-en til et tillegg begynner å vise innhold som avviker vesentlig fra det som opprinnelig ble vurdert.
Implementer validering av domeneeierskap for å bekrefte at infrastrukturen forblir under utviklerens kontroll, og flagg tillegg der eierskapet av hosting endres.
Etablere mekanismer for å fjerne eller advare brukere om tillegg som ikke har blitt oppdatert innen definerte tidsrammer.
Vis antall installasjoner for å vurdere eksponering og potensiell påvirkning.

Kontinuerlig overvåking av live-innhold, i stedet for utelukkende å stole på statisk manifestgodkjenning, er avgjørende for å redusere risikoer i forsyningskjeden i moderne utvidelsesøkosystemer.

En vekker for dynamiske avhengighetsmodeller for tillit

AgreeToSteal-kampanjen illustrerer en grunnleggende utfordring i moderne programvaredistribusjonsmodeller. Office-tillegg, nettleserutvidelser og lignende markedsplassbaserte verktøy er ofte avhengige av eksternt, dynamisk servert innhold.

Uten periodisk ny skanning og atferdsovervåking kan pålitelige applikasjoner stille utvikle seg til angrepsvektorer.

Denne saken tjener som en advarsel til både plattformoperatører og bedriftsforkjempere: tillit må kontinuerlig valideres, spesielt når det gjelder ekstern infrastruktur og dynamiske avhengigheter.

EnigmaSofts betalingsprosessor, Digital River GmbH, har ingen innvirkning på SpyHunter-kundenes anti-malware-beskyttelse

Søk

Endre region

Godta skadelig Outlook-tillegg

Fra produktivitetsverktøy til phishing-vektor

Utnytte Office-tilleggsarkitekturen

Phishing-kjøring og legitimasjonsutpressing

Et gap i markedstilsynet med bredere implikasjoner

Strategiske tiltak for å redusere markedsrisiko

En vekker for dynamiske avhengighetsmodeller for tillit

Legg inn kommentar

Trender

TeamPCP-orm

Trump-svindel med krypto-giveaway

Taqw Ransomware

Mest sett

Skadevare

'Geek Squad' e-postsvindel

Hva er 'msedgewebview2.exe'?