Preventivo sconto multi-licenza
Database delle minacce Malware Accetto il componente aggiuntivo dannoso di Outlook

Accetto il componente aggiuntivo dannoso di Outlook

Entro Mezo nel Malware, Minaccia persistente avanzata (APT)
Traduci in:

I ricercatori di sicurezza informatica hanno scoperto quello che si ritiene essere il primo componente aggiuntivo dannoso per Microsoft Outlook rilevato in rete. La campagna, nome in codice AgreeToSteal, rappresenta un nuovo e preoccupante attacco alla supply chain che abusa della fiducia nell'ecosistema dei componenti aggiuntivi di Office di Microsoft.

In questo incidente, un autore di minacce ha dirottato il dominio associato a un componente aggiuntivo di Outlook abbandonato ma legittimo. Riutilizzando l'infrastruttura scaduta, l'aggressore ha distribuito una pagina di accesso Microsoft contraffatta e ha rubato con successo oltre 4.000 credenziali utente.

Questa scoperta segna l'inizio di una nuova fase nelle minacce alla supply chain basate sul mercato, questa volta mirate al software di produttività aziendale.

Da strumento di produttività a vettore di phishing

Il componente aggiuntivo compromesso, noto come AgreeTo, è stato originariamente sviluppato per aiutare gli utenti a consolidare più calendari e condividere la disponibilità tramite e-mail. L'ultimo aggiornamento risale a dicembre 2022.

A differenza delle tradizionali campagne di distribuzione di malware, questo attacco non ha sfruttato una vulnerabilità nel codice sorgente. Ha invece sfruttato una debolezza strutturale nel funzionamento dei componenti aggiuntivi di Office. I ricercatori classificano questo attacco come una variante di attacchi precedentemente osservati che colpivano estensioni del browser, pacchetti npm e plugin IDE, canali di distribuzione affidabili in cui i contenuti approvati possono successivamente essere modificati senza essere sottoposti a controlli.

I componenti aggiuntivi di Office comportano un rischio maggiore a causa di diversi fattori combinati:

  • Vengono eseguiti direttamente all'interno di Outlook, dove vengono gestite le comunicazioni altamente riservate.
  • Potrebbero richiedere autorizzazioni specifiche, tra cui la possibilità di leggere e modificare le email.
  • Vengono distribuiti tramite lo store ufficiale di Microsoft, ereditando la fiducia implicita dell'utente.

Il caso AgreeTo evidenzia una realtà critica: lo sviluppatore originale non ha fatto nulla di malevolo. Un prodotto legittimo è stato creato e successivamente abbandonato. L'attacco ha sfruttato il divario tra l'abbandono del progetto e la supervisione del marketplace.

Sfruttamento dell’architettura dei componenti aggiuntivi di Office

Al centro dell'incidente c'è la progettazione dei componenti aggiuntivi di Office. Gli sviluppatori inviano i loro componenti aggiuntivi tramite il Partner Center di Microsoft, dove la soluzione viene sottoposta a revisione e approvazione. Tuttavia, l'approvazione è in gran parte legata a un file manifest, non a un pacchetto di codice statico.

I componenti aggiuntivi di Office differiscono fondamentalmente dal software convenzionale. Anziché fornire codice in bundle, il file manifest specifica un URL. Ogni volta che il componente aggiuntivo viene aperto in Outlook, l'applicazione recupera il contenuto live da quell'URL e lo visualizza in un iframe.

Questo modello architetturale introduce un'esposizione critica: una volta approvato e firmato, il componente aggiuntivo continua a caricare in tempo reale qualsiasi contenuto fornito dall'URL di riferimento. Se il controllo di tale URL cambia, a causa della scadenza del dominio o dell'abbandono dell'infrastruttura, è possibile introdurre contenuti dannosi senza modificare il manifesto firmato.

Nel caso di AgreeTo, il manifesto faceva riferimento a un URL ospitato da Vercel (outlook-one.vercel[.]app). Dopo che la distribuzione dello sviluppatore fu eliminata e il progetto divenne di fatto abandonware intorno al 2023, l'URL divenne rivendicabile. Un aggressore ne prese il controllo mentre il componente aggiuntivo rimaneva elencato nello store di Microsoft.

Al momento della segnalazione, l'infrastruttura rimane attiva.

Esecuzione di phishing ed esfiltrazione delle credenziali

Dopo aver rivendicato l'abbandono dell'implementazione, l'aggressore ha ospitato un kit di phishing all'URL indicato. Il contenuto dannoso mostrava una falsa pagina di accesso Microsoft progettata per acquisire le credenziali dell'utente.

Le password catturate venivano esfiltrate utilizzando l'API del bot di Telegram. Le vittime venivano quindi reindirizzate alla pagina di accesso legittima di Microsoft, riducendo i sospetti e aumentando la probabilità di furto di credenziali.

Sebbene l'attività osservata si sia concentrata sulla raccolta di credenziali, i ricercatori avvertono che l'impatto avrebbe potuto essere significativamente più grave. Il componente aggiuntivo era configurato con autorizzazioni ReadWriteItem, consentendo la lettura e la modifica delle email degli utenti. Un autore della minaccia più aggressivo avrebbe potuto implementare JavaScript in grado di esfiltrare silenziosamente il contenuto delle caselle di posta, creando un potente vettore di spionaggio all'interno degli ambienti aziendali.

Un divario nella supervisione del mercato con implicazioni più ampie

Microsoft esamina i manifesti dei componenti aggiuntivi durante il processo di invio iniziale, ma non viene eseguita una convalida continua del contenuto live fornito dagli URL di riferimento dopo l'approvazione. Ciò crea un divario di attendibilità strutturale: il manifesto viene firmato una sola volta, ma il contenuto remoto a cui fa riferimento può cambiare indefinitamente.

Il componente aggiuntivo AgreeTo è stato firmato nel dicembre 2022. Sebbene il contenuto originale fosse legittimo al momento dell'approvazione, lo stesso URL ora ospita un kit di phishing e il componente aggiuntivo rimane disponibile nello store.

Questo problema si estende oltre l'ecosistema Microsoft. Qualsiasi marketplace che approva una richiesta una sola volta senza un monitoraggio continuo delle dipendenze dinamiche remote è esposto a rischi simili. La debolezza strutturale è coerente su tutte le piattaforme: approva una volta, attendibile a tempo indeterminato.

Mitigazioni strategiche per ridurre il rischio di mercato

Per affrontare le debolezze sistemiche evidenziate da AgreeToSteal, gli esperti di sicurezza raccomandano diverse contromisure:

  • Attiva revisioni automatiche quando l'URL di riferimento di un componente aggiuntivo inizia a pubblicare contenuti sostanzialmente diversi da quelli originariamente esaminati.
  • Implementare la convalida della proprietà del dominio per confermare che l'infrastruttura rimanga sotto il controllo dello sviluppatore e contrassegnare i componenti aggiuntivi in caso di modifica della proprietà dell'hosting.
  • Stabilire meccanismi per rimuovere dall'elenco o avvisare gli utenti dei componenti aggiuntivi che non sono stati aggiornati entro i tempi definiti.
  • Visualizzare i conteggi delle installazioni per aiutare a valutare l'esposizione e il potenziale impatto.

Il monitoraggio continuo dei contenuti live, anziché affidarsi esclusivamente all'approvazione statica dei manifest, è essenziale per mitigare i rischi della supply chain negli ecosistemi di estensione moderni.

Un campanello d’allarme per i modelli di fiducia basati sulla dipendenza dinamica

La campagna AgreeToSteal illustra una sfida fondamentale nei modelli di distribuzione del software contemporanei. Componenti aggiuntivi per Office, estensioni del browser e strumenti simili ospitati su marketplace si basano spesso su contenuti remoti e forniti dinamicamente.

Senza una scansione periodica e un monitoraggio comportamentale, le applicazioni affidabili possono trasformarsi silenziosamente in vettori di attacco.

Questo caso serve da monito sia agli operatori di piattaforme che ai difensori aziendali: la fiducia deve essere costantemente convalidata, soprattutto quando sono coinvolte infrastrutture remote e dipendenze dinamiche.

Tendenza

I più visti

Caricamento in corso...