Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Kötü amaçlı yazılım Kötü Amaçlı Outlook Eklentisine Onay Verin

Kötü Amaçlı Outlook Eklentisine Onay Verin

Mezo'de Kötü amaçlı yazılım, Gelişmiş Sürekli Tehdit (APT)'de
Çevir:

Siber güvenlik araştırmacıları, bilinen ilk kötü amaçlı Microsoft Outlook eklentisini ortaya çıkardı. AgreeToSteal kod adlı bu kampanya, Microsoft'un Office eklenti ekosistemine duyulan güveni kötüye kullanan, yeni ve endişe verici bir tedarik zinciri saldırısını temsil ediyor.

Bu olayda, bir siber saldırgan, terk edilmiş ancak yasal bir Outlook eklentisiyle ilişkili alan adını ele geçirdi. Süresi dolmuş altyapıyı yeniden kullanarak, saldırgan sahte bir Microsoft oturum açma sayfası oluşturdu ve 4.000'den fazla kullanıcı kimlik bilgisini başarıyla ele geçirdi.

Bu keşif, pazar yeri tabanlı tedarik zinciri tehditlerinde yeni bir aşamaya işaret ediyor; bu kez hedef, temelde kurumsal verimlilik yazılımları.

Verimlilik Aracından Kimlik Avı Vektörüne

AgreeTo olarak bilinen ve güvenliği ihlal edilmiş olan eklenti, başlangıçta kullanıcıların birden fazla takvimi birleştirmesine ve müsaitlik durumlarını e-posta yoluyla paylaşmasına yardımcı olmak için geliştirilmişti. En son Aralık 2022'de güncellenmişti.

Geleneksel kötü amaçlı yazılım dağıtım kampanyalarının aksine, bu saldırı kod tabanındaki bir güvenlik açığından yararlanmayı içermiyordu. Bunun yerine, Office eklentilerinin işleyiş biçimindeki yapısal bir zayıflıktan faydalandı. Araştırmacılar bunu, daha önce tarayıcı uzantılarını, npm paketlerini ve IDE eklentilerini etkileyen, onaylanmış içeriğin daha sonra incelemeye tabi tutulmadan değiştirilebildiği güvenilir dağıtım kanallarını etkileyen saldırıların bir varyasyonu olarak sınıflandırıyor.

Ofis eklentileri, birbiriyle bağlantılı çeşitli faktörler nedeniyle riski artırır:

  • Bu komutlar, son derece hassas iletişimlerin ele alındığı Outlook platformunda doğrudan yürütülür.
  • E-postaları okuma ve değiştirme yeteneği de dahil olmak üzere güçlü yetkiler talep edebilirler.
  • Bunlar Microsoft'un resmi mağazası aracılığıyla dağıtılıyor ve kullanıcıların doğal güvenini kazanıyor.

AgreeTo davası kritik bir gerçeğin altını çiziyor: Orijinal geliştirici kötü niyetli hiçbir şey yapmadı. Meşru bir ürün oluşturuldu ve daha sonra terk edildi. Saldırı, proje terk edilmesi ile pazar yeri denetimi arasındaki boşluktan yararlandı.

Ofis Eklentisi Mimarisinden Yararlanma

Olayın özünde Office eklentilerinin tasarımı yatıyor. Geliştiriciler eklentilerini Microsoft'un İş Ortağı Merkezi aracılığıyla gönderiyor ve çözüm burada incelenip onaylanıyor. Ancak onay büyük ölçüde statik kod paketine değil, bildirim dosyasına bağlı.

Office eklentileri, geleneksel yazılımlardan temel olarak farklıdır. Paketlenmiş kod göndermek yerine, manifest dosyası bir URL belirtir. Eklenti Outlook içinde her açıldığında, uygulama bu URL'den canlı içeriği alır ve bir iframe içinde görüntüler.

Bu mimari model kritik bir güvenlik açığı ortaya çıkarıyor: eklenti onaylanıp imzalandıktan sonra, referans verilen URL'nin sunduğu içeriği gerçek zamanlı olarak yüklemeye devam ediyor. Alan adı süresinin dolması veya altyapının terk edilmesi nedeniyle bu URL'nin kontrolü değişirse, imzalı manifest dosyasında değişiklik yapılmadan kötü amaçlı içerik eklenebilir.

AgreeTo olayında, manifest dosyası Vercel tarafından barındırılan bir URL'ye (outlook-one.vercel[.]app) referans veriyordu. Geliştiricinin dağıtımı silindikten ve proje 2023 civarında fiilen terk edilmiş yazılım haline geldikten sonra, URL ele geçirilebilir hale geldi. Bir saldırgan, eklenti Microsoft'un mağazasında listelenmeye devam ederken URL'nin kontrolünü ele geçirdi.

Haberin yayınlandığı an itibariyle altyapı aktif durumda.

Kimlik Avı Saldırısı ve Kimlik Bilgilerinin Sızdırılması

Saldırgan, terk edilmiş bir dağıtım iddiasında bulunduktan sonra, belirtilen URL'de bir kimlik avı kiti barındırdı. Kötü amaçlı içerik, kullanıcı kimlik bilgilerini ele geçirmek için tasarlanmış sahte bir Microsoft oturum açma sayfası gösterdi.

Ele geçirilen şifreler, Telegram Bot API'si kullanılarak dışarı sızdırıldı. Ardından mağdurlar, şüpheyi azaltmak ve kimlik bilgilerinin çalınma olasılığını artırmak amacıyla meşru Microsoft giriş sayfasına yönlendirildi.

Gözlemlenen faaliyet kimlik bilgilerini ele geçirmeye odaklanmış olsa da, araştırmacılar etkinin çok daha ciddi olabileceği konusunda uyarıyor. Eklenti, kullanıcı e-postalarını okuma ve değiştirme olanağı sağlayan ReadWriteItem izinleriyle yapılandırılmıştı. Daha agresif bir tehdit aktörü, posta kutusu içeriğini sessizce sızdırabilen ve kurumsal ortamlarda güçlü bir casusluk vektörü oluşturan JavaScript'i devreye sokabilirdi.

Daha Geniş Kapsamlı Sonuçları Olan Bir Piyasa Gözetim Açığı

Microsoft, eklenti bildirim dosyalarını ilk gönderim sürecinde inceliyor, ancak onaydan sonra referans verilen URL'ler tarafından sunulan canlı içeriğin sürekli olarak doğrulanması yapılmıyor. Bu durum yapısal bir güven açığı yaratıyor: bildirim dosyası bir kez imzalanıyor, ancak referans verdiği uzak içerik süresiz olarak değişebiliyor.

AgreeTo eklentisi Aralık 2022'de imzalandı. Orijinal içerik onaylandığı sırada yasal olsa da, aynı URL şimdi bir kimlik avı aracı olarak hizmet veriyor ve eklenti mağazada hala mevcut.

Bu sorun Microsoft ekosisteminin ötesine uzanıyor. Uzaktan dinamik bağımlılıkların sürekli izlenmesi olmadan bir başvuruyu bir kez onaylayan herhangi bir pazar yeri benzer risklere maruz kalır. Yapısal zayıflık platformlar arasında tutarlıdır: bir kez onayla, sonsuza dek güven.

Pazar Yeri Riskini Azaltmaya Yönelik Stratejik Önlemler

AgreeToSteal tarafından ortaya çıkarılan sistemik zafiyetleri gidermek için güvenlik uzmanları çeşitli önlemler önermektedir:

  • Bir eklentinin referans verdiği URL, orijinal olarak incelenen içerikten önemli ölçüde farklı içerik sunmaya başladığında otomatik yeniden incelemeleri tetikleyin.
  • Alan adı sahipliği doğrulamasını uygulayarak altyapının geliştiricinin kontrolünde kaldığını teyit edin ve barındırma sahipliğinin değiştiği eklentileri işaretleyin.
  • Belirlenen zaman dilimleri içinde güncellenmemiş eklentileri listeden çıkarmak veya kullanıcılara bu konuda uyarı vermek için mekanizmalar oluşturun.
  • Ekran kurulum sayıları, görünürlüğü ve potansiyel etkiyi değerlendirmeye yardımcı olur.

Modern yayımcılık ekosistemlerinde tedarik zinciri risklerini azaltmak için, yalnızca statik manifest onayına güvenmek yerine, canlı içeriğin sürekli olarak izlenmesi şarttır.

Dinamik Bağımlılık Güven Modelleri İçin Bir Uyarı Niteliğinde

AgreeToSteal kampanyası, çağdaş yazılım dağıtım modellerindeki temel bir zorluğu ortaya koymaktadır. Office eklentileri, tarayıcı uzantıları ve benzeri pazar yerlerinde barındırılan araçlar, sıklıkla uzaktan, dinamik olarak sunulan içeriğe bağımlıdır.

Periyodik yeniden tarama ve davranışsal izleme yapılmadığı takdirde, güvenilir uygulamalar sessizce saldırı vektörlerine dönüşebilir.

Bu olay, platform operatörleri ve kurumsal savunmacılar için bir uyarı niteliğindedir: özellikle uzaktan erişimli altyapı ve dinamik bağımlılıklar söz konusu olduğunda, güven sürekli olarak doğrulanmalıdır.

trend

TeamPCP Solucanı

Gelişmiş Sürekli Tehdit (APT), Kötü amaçlı yazılım, Solucanlar
Siber güvenlik araştırmacıları, bulut tabanlı ortamları sistematik olarak hedef alan ve daha sonra istismar için kötü amaçlı altyapı oluşturan, solucan virüsü kaynaklı kapsamlı bir saldırı kampanyasını ortaya çıkardı. Bu operasyonla bağlantılı faaliyetler 25 Aralık 2025 civarında gözlemlendi ve modern bulut yığınlarındaki açıkta kalan hizmetleri ve güvenlik açıklarını kötüye kullanmaya yönelik...

En çok görüntülenen

Yükleniyor...