दुर्भावनापूर्ण आउटलुक ऐड-इन से सहमत हों
साइबर सुरक्षा शोधकर्ताओं ने माइक्रोसॉफ्ट आउटलुक के पहले ज्ञात दुर्भावनापूर्ण ऐड-इन का पता लगाया है। एग्री टू स्टील नामक यह अभियान, माइक्रोसॉफ्ट के ऑफिस ऐड-इन इकोसिस्टम में मौजूद भरोसे का दुरुपयोग करने वाला एक नया और चिंताजनक सप्लाई चेन हमला है।
इस घटना में, एक हमलावर ने एक बंद हो चुके लेकिन वैध आउटलुक ऐड-इन से जुड़े डोमेन को हाईजैक कर लिया। इस निष्क्रिय हो चुके इंफ्रास्ट्रक्चर का दुरुपयोग करते हुए, हमलावर ने एक नकली माइक्रोसॉफ्ट लॉगिन पेज बनाया और 4,000 से अधिक उपयोगकर्ताओं के क्रेडेंशियल सफलतापूर्वक हासिल कर लिए।
यह खोज बाजार आधारित आपूर्ति श्रृंखला खतरों के एक नए चरण का संकेत देती है, जो इस बार उद्यम उत्पादकता सॉफ्टवेयर को अपने मूल में लक्षित कर रही है।
विषयसूची
उत्पादकता उपकरण से लेकर फ़िशिंग के वाहक तक
एग्री टू नामक यह संदिग्ध ऐड-इन मूल रूप से उपयोगकर्ताओं को कई कैलेंडर को समेकित करने और ईमेल के माध्यम से उपलब्धता साझा करने में मदद करने के लिए विकसित किया गया था। इसे आखिरी बार दिसंबर 2022 में अपडेट किया गया था।
पारंपरिक मैलवेयर वितरण अभियानों के विपरीत, इस हमले में कोडबेस में किसी खामी का फायदा नहीं उठाया गया। इसके बजाय, इसने ऑफिस ऐड-इन्स के काम करने के तरीके में मौजूद संरचनात्मक कमजोरी का लाभ उठाया। शोधकर्ता इसे पहले देखे गए उन हमलों का एक प्रकार मानते हैं जो ब्राउज़र एक्सटेंशन, एनपीएम पैकेज और आईईडी प्लगइन्स को प्रभावित करते हैं। ये विश्वसनीय वितरण चैनल हैं जहां स्वीकृत सामग्री को बिना किसी जांच के बाद में बदला जा सकता है।
कई कारकों के जटिल होने के कारण ऑफिस में लगाए जाने वाले अतिरिक्त उपकरण जोखिम को बढ़ा देते हैं:
- वे सीधे आउटलुक के भीतर ही काम करते हैं, जहां अत्यंत संवेदनशील संचार को संभाला जाता है।
- वे ईमेल पढ़ने और संशोधित करने की क्षमता सहित शक्तिशाली अनुमतियों का अनुरोध कर सकते हैं।
- इन्हें माइक्रोसॉफ्ट के आधिकारिक स्टोर के माध्यम से वितरित किया जाता है, जिससे इन्हें उपयोगकर्ताओं का अंतर्निहित विश्वास प्राप्त होता है।
एग्रीटो मामले ने एक महत्वपूर्ण वास्तविकता को उजागर किया है: मूल डेवलपर ने कोई दुर्भावनापूर्ण कार्य नहीं किया था। एक वैध उत्पाद बनाया गया था जिसे बाद में छोड़ दिया गया। हमले ने परियोजना को छोड़ने और बाज़ार की निगरानी के बीच की खाई का फायदा उठाया।
ऑफिस ऐड-इन आर्किटेक्चर का लाभ उठाना
इस घटना की जड़ में ऑफिस ऐड-इन्स का डिज़ाइन है। डेवलपर अपने ऐड-इन्स माइक्रोसॉफ्ट के पार्टनर सेंटर के माध्यम से सबमिट करते हैं, जहाँ समाधान की समीक्षा और अनुमोदन किया जाता है। हालाँकि, अनुमोदन मुख्य रूप से एक मैनिफेस्ट फ़ाइल से जुड़ा होता है, न कि किसी स्थिर कोड पैकेज से।
ऑफिस ऐड-इन्स पारंपरिक सॉफ़्टवेयर से मौलिक रूप से भिन्न होते हैं। इनमें बंडल किए गए कोड के बजाय, मैनिफ़ेस्ट फ़ाइल एक URL निर्दिष्ट करती है। आउटलुक में ऐड-इन को हर बार खोलने पर, एप्लिकेशन उस URL से लाइव सामग्री प्राप्त करता है और उसे एक iframe के भीतर प्रदर्शित करता है।
यह आर्किटेक्चरल मॉडल एक गंभीर खामी पैदा करता है: एक बार स्वीकृत और हस्ताक्षरित हो जाने के बाद, ऐड-इन संदर्भित URL द्वारा प्रदान की जाने वाली सामग्री को वास्तविक समय में लोड करना जारी रखता है। यदि डोमेन की समय सीमा समाप्त होने या बुनियादी ढांचे के परित्याग के कारण उस URL का नियंत्रण बदल जाता है, तो हस्ताक्षरित मैनिफेस्ट को संशोधित किए बिना दुर्भावनापूर्ण सामग्री डाली जा सकती है।
एग्रीटो मामले में, मैनिफेस्ट में वर्सेल द्वारा होस्ट किए गए यूआरएल (outlook-one.vercel[.]app) का संदर्भ दिया गया था। डेवलपर द्वारा डिप्लॉयमेंट हटाए जाने और लगभग 2023 में प्रोजेक्ट के अप्रचलित हो जाने के बाद, यूआरएल पर दावा किया जा सकता था। हमलावर ने माइक्रोसॉफ्ट के स्टोर में ऐड-इन के सूचीबद्ध रहते हुए ही इस पर नियंत्रण हासिल कर लिया।
रिपोर्टिंग की तारीख तक, बुनियादी ढांचा सक्रिय बना हुआ है।
फ़िशिंग का निष्पादन और क्रेडेंशियल की चोरी
छोड़े गए परिनियोजन पर दावा करने के बाद, हमलावर ने संदर्भित यूआरएल पर एक फ़िशिंग किट होस्ट की। दुर्भावनापूर्ण सामग्री में एक नकली माइक्रोसॉफ्ट साइन-इन पृष्ठ प्रदर्शित किया गया था जिसे उपयोगकर्ता क्रेडेंशियल प्राप्त करने के लिए डिज़ाइन किया गया था।
टेलीग्राम बॉट एपीआई का उपयोग करके पकड़े गए पासवर्ड चुरा लिए गए। इसके बाद पीड़ितों को माइक्रोसॉफ्ट के वैध लॉगिन पेज पर भेज दिया गया, जिससे संदेह कम हो गया और क्रेडेंशियल चोरी होने की संभावना बढ़ गई।
हालांकि देखी गई गतिविधि क्रेडेंशियल चुराने पर केंद्रित थी, शोधकर्ताओं ने चेतावनी दी है कि इसका प्रभाव कहीं अधिक गंभीर हो सकता था। ऐड-इन को ReadWriteItem अनुमतियों के साथ कॉन्फ़िगर किया गया था, जिससे उपयोगकर्ता के ईमेल को पढ़ने और संशोधित करने की क्षमता सक्षम हो गई थी। एक अधिक आक्रामक हमलावर मेलबॉक्स की सामग्री को चुपचाप निकालने में सक्षम जावास्क्रिप्ट तैनात कर सकता था, जिससे उद्यम परिवेश में जासूसी का एक शक्तिशाली माध्यम तैयार हो सकता था।
बाज़ार निगरानी में एक खामी जिसके व्यापक निहितार्थ हैं
Microsoft प्रारंभिक सबमिशन प्रक्रिया के दौरान ऐड-इन मैनिफेस्ट की समीक्षा करता है, लेकिन अनुमोदन के बाद संदर्भित URL द्वारा प्रदान की जाने वाली लाइव सामग्री का कोई निरंतर सत्यापन नहीं होता है। इससे भरोसे में संरचनात्मक कमी आती है: मैनिफेस्ट पर एक बार हस्ताक्षर किए जाते हैं, लेकिन जिस रिमोट सामग्री को यह संदर्भित करता है वह अनिश्चित काल तक बदल सकती है।
एग्रीटू ऐड-इन पर दिसंबर 2022 में हस्ताक्षर किए गए थे। हालांकि अनुमोदन के समय मूल सामग्री वैध थी, लेकिन अब वही यूआरएल फ़िशिंग किट प्रदान करता है, और ऐड-इन अभी भी स्टोर में उपलब्ध है।
यह समस्या माइक्रोसॉफ्ट के इकोसिस्टम तक ही सीमित नहीं है। कोई भी मार्केटप्लेस जो दूरस्थ गतिशील निर्भरताओं की निरंतर निगरानी किए बिना एक बार सबमिशन को मंजूरी दे देता है, वह इसी तरह के जोखिमों के प्रति संवेदनशील होता है। संरचनात्मक कमजोरी सभी प्लेटफॉर्मों पर समान है: एक बार मंजूरी दें, अनिश्चित काल तक भरोसा करें।
बाजार जोखिम को कम करने के लिए रणनीतिक उपाय
एग्री टू स्टील द्वारा उजागर की गई प्रणालीगत कमजोरियों को दूर करने के लिए, सुरक्षा विशेषज्ञ कई प्रतिउपायों की सिफारिश करते हैं:
- जब किसी ऐड-इन के संदर्भित यूआरएल द्वारा प्रदर्शित सामग्री मूल रूप से समीक्षा की गई सामग्री से काफी भिन्न सामग्री प्रदर्शित करना शुरू कर दे, तो स्वचालित रूप से पुनः समीक्षा शुरू करें।
- यह सुनिश्चित करने के लिए डोमेन स्वामित्व सत्यापन लागू करें कि बुनियादी ढांचा डेवलपर के नियंत्रण में बना रहे, और उन ऐड-इन्स को चिह्नित करें जहां होस्टिंग स्वामित्व बदलता है।
- निर्धारित समयसीमा के भीतर अपडेट नहीं किए गए ऐड-इन्स को सूची से हटाने या उपयोगकर्ताओं को चेतावनी देने के लिए तंत्र स्थापित करें।
- जोखिम और संभावित प्रभाव का आकलन करने में मदद के लिए इंस्टॉलेशन की संख्या प्रदर्शित करें।
आधुनिक विस्तार प्रणालियों में आपूर्ति श्रृंखला जोखिमों को कम करने के लिए, केवल स्थिर घोषणापत्र अनुमोदन पर निर्भर रहने के बजाय, लाइव सामग्री की निरंतर निगरानी करना आवश्यक है।
गतिशील निर्भरता विश्वास मॉडल के लिए एक चेतावनी
एग्री टू स्टील अभियान समकालीन सॉफ्टवेयर वितरण मॉडलों में एक मूलभूत चुनौती को दर्शाता है। ऑफिस ऐड-इन्स, ब्राउज़र एक्सटेंशन और इसी तरह के बाज़ार में उपलब्ध उपकरण अक्सर दूरस्थ, गतिशील रूप से परोसी जाने वाली सामग्री पर निर्भर करते हैं।
नियमित रीस्कैनिंग और व्यवहार संबंधी निगरानी के बिना, विश्वसनीय एप्लिकेशन चुपचाप आक्रमण के वाहक में बदल सकते हैं।
यह मामला प्लेटफॉर्म संचालकों और उद्यम रक्षकों दोनों के लिए एक चेतावनी के रूप में काम करता है: विश्वास को लगातार मान्य किया जाना चाहिए, खासकर जब दूरस्थ बुनियादी ढांचे और गतिशील निर्भरताएं शामिल हों।
