AgreeTo pahatahtlik Outlooki lisandmoodul
Küberturvalisuse uurijad on avastanud arvatavasti esimese teadaoleva pahatahtliku Microsoft Outlooki lisandmooduli, mis on avastatud. Kampaania koodnimega AgreeToSteal kujutab endast uudset ja murettekitavat tarneahela rünnakut, mis kuritarvitab usaldust Microsofti Office'i lisandmoodulite ökosüsteemi vastu.
Selles intsidendis kaaperdas ründaja domeeni, mis oli seotud hüljatud, kuid legitiimse Outlooki lisandmooduliga. Aegunud infrastruktuuri ümber kasutades juurutas ründaja võltsitud Microsofti sisselogimislehe ja kogus edukalt üle 4000 kasutaja mandaadi.
See avastus annab märku uuest faasist turupõhiste tarneahelaohtude vallas, mis seekord on suunatud ettevõtte tootlikkuse tarkvarale.
Sisukord
Tootlikkuse tööriistast andmepüügivektoriks
Ohustatud lisandmoodul nimega AgreeTo töötati algselt välja selleks, et aidata kasutajatel koondada mitu kalendrit ja jagada oma saadavust e-posti teel. Seda värskendati viimati 2022. aasta detsembris.
Erinevalt traditsioonilistest pahavara levitamiskampaaniatest ei hõlmanud see rünnak koodibaasi haavatavuse ärakasutamist. Selle asemel kasutati ära Office'i lisandmoodulite toimimise struktuurilist nõrkust. Teadlased liigitavad selle varasemalt täheldatud rünnakute variatsiooniks, mis mõjutavad brauserilaiendusi, npm-pakette ja IDE-pluginaid – usaldusväärseid levituskanaleid, kus heakskiidetud sisu saab hiljem ilma kontrolli käivitamata muuta.
Office'i lisandmoodulid suurendavad riski mitmete liittegurite tõttu:
- Need käivituvad otse Outlookis, kus käsitletakse väga tundlikku suhtlust.
- Nad võivad taotleda võimsaid õigusi, sealhulgas võimalust lugeda ja muuta e-kirju.
- Neid levitatakse Microsofti ametliku poe kaudu, pärides kaudse kasutaja usalduse.
AgreeTo juhtum rõhutab olulist tõsiasja: algne arendaja ei teinud midagi pahatahtlikku. Loodi legitiimne toode, mis hiljem hüljati. Rünnakus kasutati ära lõhet projekti hülgamise ja turu järelevalve vahel.
Office’i lisandmoodulite arhitektuuri ärakasutamine
Juhtumi keskmes on Office'i lisandmoodulite disain. Arendajad esitavad oma lisandmoodulid Microsofti partnerkeskuse kaudu, kus lahendus läbib ülevaatamise ja kinnitamise. Kinnitamine on aga suures osas seotud manifestifailiga, mitte staatilise koodipaketiga.
Office'i lisandmoodulid erinevad tavapärasest tarkvarast põhimõtteliselt. Komplekteeritud koodi asemel määrab manifestifail URL-i. Iga kord, kui lisandmoodul Outlookis avatakse, hangib rakendus sellelt URL-ilt reaalajas sisu ja renderdab selle iframe'is.
See arhitektuurimudel toob kaasa kriitilise ohu: pärast kinnitamist ja allkirjastamist jätkab lisandmoodul viidatud URL-i sisu reaalajas laadimist. Kui URL-i kontroll muutub domeeni aegumise või infrastruktuuri hülgamise tõttu, saab pahatahtlikku sisu lisada ilma allkirjastatud manifesti muutmata.
AgreeTo juhtumi puhul viitas manifest Verceli hostitud URL-ile (outlook-one.vercel[.]app). Pärast seda, kui arendaja juurutus kustutati ja projektist sai umbes 2023. aastal sisuliselt loobumisvara, muutus URL nõutavaks. Ründaja haaras selle üle kontrolli, samal ajal kui lisandmoodul jäi Microsofti poodi.
Aruande esitamise ajal on infrastruktuur endiselt aktiivne.
Andmepüügi täitmine ja volituste väljaviimine
Pärast hüljatud juurutuse enda omaksvõtmist majutas ründaja viidatud URL-il andmepüügikomplekti. Pahatahtlik sisu kuvas võltsitud Microsofti sisselogimislehe, mis oli loodud kasutajaandmete jäädvustamiseks.
Salvestatud paroolid varjati Telegram Boti API abil. Seejärel suunati ohvrid õiguspärasele Microsofti sisselogimislehele, vähendades kahtlust ja suurendades volituste varguse õnnestumise tõenäosust.
Kuigi vaadeldud tegevus keskendus volituste kogumisele, hoiatavad teadlased, et mõju võis olla oluliselt tõsisem. Lisandmoodulile olid määratud ReadWriteItem õigused, mis võimaldasid kasutajate e-kirju lugeda ja muuta. Agressiivsem ründaja oleks võinud kasutada JavaScripti, mis on võimeline vaikselt postkastide sisu välja filtreerima, luues ettevõttekeskkondades võimsa spionaaživektori.
Turujärelevalve lünk laiemate tagajärgedega
Microsoft vaatab lisandmoodulite manifestid üle esmase esitamise protsessi käigus, kuid pärast kinnitamist ei toimu viidatud URL-ide pakutava reaalajas sisu pidevat valideerimist. See loob struktuurse usalduslünga: manifest allkirjastatakse üks kord, kuid viidatud kaugsisu võib lõputult muutuda.
AgreeTo lisandmoodul allkirjastati 2022. aasta detsembris. Kuigi algne sisu oli kinnitamise ajal õigustatud, pakub sama URL nüüd andmepüügikomplekti ja lisandmoodul on poes endiselt saadaval.
See probleem ulatub Microsofti ökosüsteemist väljapoole. Iga turg, mis kinnitab esildise üks kord ilma pideva dünaamiliste sõltuvuste jälgimiseta, on sarnaste riskidega silmitsi. Struktuuriline nõrkus on platvormide lõikes järjepidev: kinnita üks kord, usalda lõputult.
Strateegilised leevendusmeetmed tururiski vähendamiseks
AgreeToSteali paljastatud süsteemsete nõrkuste kõrvaldamiseks soovitavad turvaeksperdid mitmeid vastumeetmeid:
- Käivitage automaatsed uuesti läbivaatamise, kui lisandmooduli viidatud URL hakkab pakkuma sisu, mis erineb oluliselt algselt läbivaadatust.
- Rakenda domeeni omandiõiguse valideerimist, et kinnitada infrastruktuuri jäämist arendaja kontrolli alla, ja märgista lisandmoodulid, mille puhul majutuse omandiõigus muutub.
- Looge mehhanismid lisandmoodulite loendist eemaldamiseks või kasutajate hoiatamiseks nende eest, mida pole kindlaksmääratud aja jooksul värskendatud.
- Kuvareklaamide paigalduste arv aitab hinnata nähtavust ja võimalikku mõju.
Tänapäevastes laiendusökosüsteemides on tarneahela riskide maandamiseks oluline reaalajas sisu pidev jälgimine, mitte ainult staatilisele manifesti kinnitusele lootmine.
Äratuskõne dünaamiliste sõltuvususalduse mudelite jaoks
AgreeToSteal kampaania illustreerib tänapäevaste tarkvara levitamise mudelite olulist väljakutset. Office'i lisandmoodulid, brauserilaiendused ja sarnased turuplatsil hostitud tööriistad tuginevad sageli dünaamiliselt edastatavale kaugsisule.
Ilma perioodilise uuesti skaneerimise ja käitumise jälgimiseta võivad usaldusväärsed rakendused märkamatult rünnakuvektoriteks areneda.
See juhtum on hoiatuseks nii platvormioperaatoritele kui ka ettevõtete kaitsjatele: usaldust tuleb pidevalt valideerida, eriti kui tegemist on kauginfrastruktuuri ja dünaamiliste sõltuvustega.
