Add-in-ul rău intenționat pentru Outlook este de acord
Cercetătorii în domeniul securității cibernetice au descoperit ceea ce se crede a fi primul add-in rău intenționat cunoscut pentru Microsoft Outlook, detectat în mod neoficial. Campania, cu numele de cod AgreeToSteal, reprezintă un atac inovator și îngrijorător asupra lanțului de aprovizionare, care abuzează de încrederea în ecosistemul de add-in-uri Office al Microsoft.
În acest incident, un atacator a deturnat domeniul asociat cu un add-in Outlook abandonat, dar legitim. Prin reutilizarea infrastructurii expirate, atacatorul a implementat o pagină de conectare Microsoft contrafăcută și a obținut cu succes peste 4.000 de acreditări de utilizator.
Această descoperire semnalează o nouă fază în amenințările la adresa lanțului de aprovizionare bazate pe piață, de data aceasta vizând în centrul său software-ul de productivitate al întreprinderilor.
Cuprins
De la instrument de productivitate la vector de phishing
Add-in-ul compromis, cunoscut sub numele de AgreeTo, a fost dezvoltat inițial pentru a ajuta utilizatorii să consolideze mai multe calendare și să partajeze disponibilitatea prin e-mail. A fost actualizat ultima dată în decembrie 2022.
Spre deosebire de campaniile tradiționale de distribuire a programelor malware, acest atac nu a implicat exploatarea unei vulnerabilități din baza de cod. În schimb, a valorificat o slăbiciune structurală în modul în care funcționează programele de completare Office. Cercetătorii clasifică acest lucru ca o variantă a atacurilor observate anterior care afectează extensiile de browser, pachetele npm și pluginurile IDE, canale de distribuție de încredere unde conținutul aprobat se poate modifica ulterior fără a declanșa o verificare.
Add-in-urile Office introduc un risc crescut din cauza mai multor factori agravanți:
- Acestea se execută direct în Outlook, unde sunt gestionate comunicațiile extrem de sensibile.
- Aceștia pot solicita permisiuni puternice, inclusiv capacitatea de a citi și modifica e-mailuri.
- Acestea sunt distribuite prin magazinul oficial Microsoft, moștenind încrederea implicită a utilizatorilor.
Cazul AgreeTo subliniază o realitate critică: dezvoltatorul inițial nu a făcut nimic rău intenționat. Un produs legitim a fost creat și ulterior abandonat. Atacul a exploatat discrepanța dintre abandonarea proiectului și supravegherea pieței.
Exploatarea arhitecturii programelor de completare Office
În centrul incidentului se află designul programelor de completare Office. Dezvoltatorii își trimit programele de completare prin intermediul Centrului pentru parteneri Microsoft, unde soluția este revizuită și aprobată. Cu toate acestea, aprobarea este în mare măsură legată de un fișier manifest, nu de un pachet de cod static.
Programele de completare Office diferă fundamental de software-ul convențional. În loc să livreze cod inclus, fișierul manifest specifică o adresă URL. De fiecare dată când programul de completare este deschis în Outlook, aplicația preia conținut live de la adresa URL respectivă și îl redă într-un iframe.
Acest model arhitectural introduce o expunere critică: odată aprobat și semnat, extensia continuă să încarce conținutul servit de adresa URL la care se face referire în timp real. Dacă controlul asupra adresei URL respective se modifică, din cauza expirării domeniului sau a abandonării infrastructurii, conținutul rău intenționat poate fi introdus fără a modifica manifestul semnat.
În cazul AgreeTo, manifestul făcea referire la o adresă URL găzduită de Vercel (outlook-one.vercel[.]app). După ce implementarea dezvoltatorului a fost ștearsă și proiectul a devenit efectiv abandonware în jurul anului 2023, adresa URL a devenit revendicabilă. Un atacator a preluat controlul asupra acesteia în timp ce add-in-ul a rămas listat în magazinul Microsoft.
La momentul raportării, infrastructura rămâne activă.
Executarea phishing-ului și exfiltrarea acreditărilor
După ce a revendicat implementarea abandonată, atacatorul a găzduit un kit de phishing la adresa URL menționată. Conținutul rău intenționat a afișat o pagină de conectare Microsoft falsă, concepută pentru a captura acreditările utilizatorului.
Parolele capturate au fost exfiltrate folosind API-ul Telegram Bot. Victimele au fost apoi redirecționate către pagina legitimă de conectare Microsoft, reducând suspiciunile și crescând probabilitatea furtului cu succes a acreditărilor.
Deși activitatea observată s-a concentrat pe colectarea de acreditări, cercetătorii avertizează că impactul ar fi putut fi semnificativ mai sever. Add-in-ul a fost configurat cu permisiuni ReadWriteItem, permițând citirea și modificarea e-mailurilor utilizatorilor. Un actor de amenințare mai agresiv ar fi putut implementa JavaScript capabil să exfiltreze în mod silențios conținutul cutiilor poștale, creând un vector puternic de spionaj în mediile enterprise.
O lacună în supravegherea pieței cu implicații mai largi
Microsoft verifică manifestele programelor de completare în timpul procesului inițial de trimitere, dar nu există o validare continuă a conținutului live difuzat de adresele URL la care se face referire după aprobare. Acest lucru creează o lacună structurală de încredere: manifestul este semnat o singură dată, însă conținutul la distanță la care face referire se poate schimba la nesfârșit.
Add-in-ul AgreeTo a fost semnat în decembrie 2022. Deși conținutul original era legitim la momentul aprobării, aceeași adresă URL servește acum un kit de phishing, iar add-in-ul rămâne disponibil în magazin.
Această problemă se extinde dincolo de ecosistemul Microsoft. Orice piață care aprobă o trimitere o singură dată fără monitorizarea continuă a dependențelor dinamice la distanță este expusă unor riscuri similare. Slăbiciunea structurală este consistentă pe toate platformele: aprobă o singură dată, ai încredere pe termen nelimitat.
Atenuări strategice pentru reducerea riscului de piață
Pentru a aborda deficiențele sistemice expuse de AgreeToSteal, experții în securitate recomandă mai multe contramăsuri:
- Declanșează reevaluări automate atunci când adresa URL la care se face referire pentru un add-in începe să difuzeze conținut care diferă semnificativ de cel revizuit inițial.
- Implementați validarea proprietății domeniului pentru a confirma că infrastructura rămâne sub controlul dezvoltatorului și semnalați programele de completare în cazul în care se schimbă proprietatea asupra găzduirii.
- Stabiliți mecanisme pentru eliminarea de pe listă sau avertizarea utilizatorilor cu privire la programele de completare care nu au fost actualizate în intervalele de timp definite.
- Afișați numărul de instalări pentru a ajuta la evaluarea expunerii și a impactului potențial.
Monitorizarea continuă a conținutului live, în loc să se bazeze exclusiv pe aprobarea manifesturilor statice, este esențială pentru atenuarea riscurilor lanțului de aprovizionare în ecosistemele moderne de extensie.
Un semnal de alarmă pentru modelele dinamice de încredere în dependență
Campania AgreeToSteal ilustrează o provocare fundamentală în modelele contemporane de distribuție de software. Add-in-urile Office, extensiile de browser și instrumentele similare găzduite în marketplace se bazează frecvent pe conținut la distanță, servit dinamic.
Fără rescanare periodică și monitorizare comportamentală, aplicațiile de încredere pot evolua silențios în vectori de atac.
Acest caz servește drept avertisment atât pentru operatorii de platforme, cât și pentru apărătorii companiilor: încrederea trebuie validată continuu, în special atunci când este implicată infrastructură la distanță și dependențe dinamice.
