យល់ព្រមចំពោះកម្មវិធីបន្ថែម Outlook ព្យាបាទ

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញអ្វីដែលគេជឿថាជាកម្មវិធីបន្ថែម Microsoft Outlook ព្យាបាទដំបូងគេដែលគេស្គាល់ដែលត្រូវបានរកឃើញនៅក្នុងពិភពពិត។ យុទ្ធនាការនេះ ដែលមានឈ្មោះកូដថា AgreeToSteal តំណាងឱ្យការវាយប្រហារខ្សែសង្វាក់ផ្គត់ផ្គង់ថ្មី និងគួរឱ្យព្រួយបារម្ភ ដែលរំលោភលើទំនុកចិត្តលើប្រព័ន្ធអេកូឡូស៊ីកម្មវិធីបន្ថែម Office របស់ Microsoft។

នៅក្នុងឧប្បត្តិហេតុនេះ អ្នកគំរាមកំហែងម្នាក់បានលួចយកដែនដែលជាប់ទាក់ទងនឹងកម្មវិធីបន្ថែម Outlook ដែលត្រូវបានបោះបង់ចោល ប៉ុន្តែស្របច្បាប់។ តាមរយៈការប្រើប្រាស់ហេដ្ឋារចនាសម្ព័ន្ធដែលផុតកំណត់ឡើងវិញ អ្នកវាយប្រហារបានដាក់ពង្រាយទំព័រចូល Microsoft ក្លែងក្លាយ ហើយប្រមូលបានព័ត៌មានសម្គាល់អ្នកប្រើប្រាស់ជាង ៤០០០ នាក់ដោយជោគជ័យ។

ការរកឃើញនេះបង្ហាញពីដំណាក់កាលថ្មីមួយនៅក្នុងការគំរាមកំហែងខ្សែសង្វាក់ផ្គត់ផ្គង់ដែលមានមូលដ្ឋានលើទីផ្សារ ដោយលើកនេះផ្តោតលើកម្មវិធីផលិតភាពសហគ្រាសជាស្នូលរបស់វា។

ពីឧបករណ៍ផលិតភាពទៅវ៉ិចទ័របន្លំ

កម្មវិធីបន្ថែមដែលរងការលួចចូល ដែលគេស្គាល់ថា AgreeTo ត្រូវបានបង្កើតឡើងដំបូងដើម្បីជួយអ្នកប្រើប្រាស់បញ្ចូលប្រតិទិនច្រើន និងចែករំលែកភាពអាចរកបានតាមរយៈអ៊ីមែល។ វាត្រូវបានធ្វើបច្ចុប្បន្នភាពចុងក្រោយនៅក្នុងខែធ្នូ ឆ្នាំ២០២២។

មិនដូចយុទ្ធនាការចែកចាយមេរោគបែបប្រពៃណីទេ ការវាយប្រហារនេះមិនពាក់ព័ន្ធនឹងការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះនៅក្នុងមូលដ្ឋានកូដនោះទេ។ ផ្ទុយទៅវិញ វាបានទាញយកអត្ថប្រយោជន៍ពីភាពទន់ខ្សោយនៃរចនាសម្ព័ន្ធនៅក្នុងរបៀបដែលកម្មវិធីបន្ថែម Office ដំណើរការ។ អ្នកស្រាវជ្រាវចាត់ថ្នាក់នេះថាជាបំរែបំរួលនៃការវាយប្រហារដែលបានសង្កេតឃើញពីមុនដែលប៉ះពាល់ដល់ផ្នែកបន្ថែមកម្មវិធីរុករក កញ្ចប់ npm និងកម្មវិធីជំនួយ IDE ដែលជាបណ្តាញចែកចាយដែលគួរឱ្យទុកចិត្តដែលខ្លឹមសារដែលត្រូវបានអនុម័តអាចផ្លាស់ប្តូរនៅពេលក្រោយដោយមិនចាំបាច់មានការត្រួតពិនិត្យ។

កម្មវិធីបន្ថែមសម្រាប់ការិយាល័យបង្កឱ្យមានហានិភ័យខ្ពស់ដោយសារតែកត្តាផ្សំជាច្រើន៖

• ពួកវាប្រតិបត្តិដោយផ្ទាល់នៅក្នុង Outlook ដែលការទំនាក់ទំនងដែលងាយរងគ្រោះខ្លាំងត្រូវបានដោះស្រាយ។
• ពួកគេអាចស្នើសុំការអនុញ្ញាតដ៏មានឥទ្ធិពល រួមទាំងសមត្ថភាពក្នុងការអាន និងកែប្រែអ៊ីមែល។
• ពួកវាត្រូវបានចែកចាយតាមរយៈហាងផ្លូវការរបស់ Microsoft ដោយទទួលមរតកទំនុកចិត្តពីអ្នកប្រើប្រាស់ដោយប្រយោល។

ករណី AgreeTo គូសបញ្ជាក់ពីការពិតដ៏សំខាន់មួយ៖ អ្នកអភិវឌ្ឍន៍ដើមមិនបានធ្វើអ្វីដែលមានគំនិតអាក្រក់នោះទេ។ ផលិតផលស្របច្បាប់មួយត្រូវបានបង្កើតឡើង ហើយក្រោយមកត្រូវបានបោះបង់ចោល។ ការវាយប្រហារនេះបានកេងចំណេញពីគម្លាតរវាងការបោះបង់ចោលគម្រោង និងការត្រួតពិនិត្យទីផ្សារ។

ការទាញយកប្រយោជន៍ពីស្ថាបត្យកម្ម Office Add-In

ចំណុចកណ្តាលនៃឧប្បត្តិហេតុនេះគឺការរចនាកម្មវិធីបន្ថែម Office។ អ្នកអភិវឌ្ឍន៍ដាក់ស្នើកម្មវិធីបន្ថែមរបស់ពួកគេតាមរយៈមជ្ឈមណ្ឌលដៃគូរបស់ Microsoft ជាកន្លែងដែលដំណោះស្រាយឆ្លងកាត់ការពិនិត្យ និងការអនុម័ត។ ទោះជាយ៉ាងណាក៏ដោយ ការអនុម័តភាគច្រើនត្រូវបានភ្ជាប់ទៅនឹងឯកសារ manifest មិនមែនជាកញ្ចប់កូដឋិតិវន្តទេ។

កម្មវិធីបន្ថែម Office ខុសគ្នាជាមូលដ្ឋានពីកម្មវិធីធម្មតា។ ជំនួស​ឲ្យ​ការ​ដឹកជញ្ជូន​កូដ​ដែល​បាន​ដាក់​ជា​កញ្ចប់ ឯកសារ​បង្ហាញ​បញ្ជាក់ URL។ រាល់ពេលដែលកម្មវិធីបន្ថែមត្រូវបានបើកនៅក្នុង Outlook កម្មវិធីនឹងទាញយកខ្លឹមសារផ្ទាល់ពី URL នោះ ហើយបង្ហាញវានៅក្នុង iframe។

គំរូស្ថាបត្យកម្មនេះណែនាំការប៉ះពាល់ដ៏សំខាន់មួយ៖ នៅពេលដែលត្រូវបានអនុម័ត និងចុះហត្ថលេខារួចហើយ កម្មវិធីបន្ថែមនឹងបន្តផ្ទុកខ្លឹមសារណាមួយដែល URL ដែលបានយោងផ្តល់ជូនក្នុងពេលវេលាជាក់ស្តែង។ ប្រសិនបើការគ្រប់គ្រង URL នោះផ្លាស់ប្តូរ ដោយសារតែការផុតកំណត់នៃដែន ឬការបោះបង់ចោលហេដ្ឋារចនាសម្ព័ន្ធ ខ្លឹមសារព្យាបាទអាចត្រូវបានណែនាំដោយមិនចាំបាច់កែប្រែបញ្ជីដែលបានចុះហត្ថលេខានោះទេ។

ក្នុងករណី AgreeTo បញ្ជីឈ្មោះអ្នកប្រើប្រាស់បានយោងទៅលើ URL ដែលបង្ហោះដោយ Vercel (outlook-one.vercel[.]app)។ បន្ទាប់ពីការដាក់ពង្រាយរបស់អ្នកអភិវឌ្ឍន៍ត្រូវបានលុបចោល ហើយគម្រោងនេះបានក្លាយជា abandonware យ៉ាងមានប្រសិទ្ធភាពនៅប្រហែលឆ្នាំ 2023 URL បានក្លាយជាអាចទាមទារបាន។ អ្នកវាយប្រហារបានដណ្តើមយកការគ្រប់គ្រងរបស់វា ខណៈពេលដែល add-in នៅតែត្រូវបានចុះបញ្ជីនៅក្នុងហាងរបស់ Microsoft។

គិតត្រឹមរបាយការណ៍ ហេដ្ឋារចនាសម្ព័ន្ធនៅតែសកម្ម។

ការប្រតិបត្តិ Phishing និងការលួចយកព័ត៌មានសម្ងាត់

បន្ទាប់ពីអះអាងពីការដាក់ពង្រាយដែលត្រូវបានបោះបង់ចោល អ្នកវាយប្រហារបានបង្ហោះឧបករណ៍បន្លំតាមអ៊ីនធឺណិតនៅ URL ដែលបានយោង។ ខ្លឹមសារព្យាបាទបានបង្ហាញទំព័រចូល Microsoft ក្លែងក្លាយដែលត្រូវបានរចនាឡើងដើម្បីចាប់យកព័ត៌មានសម្ងាត់អ្នកប្រើប្រាស់។

ពាក្យសម្ងាត់ដែលចាប់យកត្រូវបានច្រោះចេញដោយប្រើ Telegram Bot API។ បន្ទាប់មកជនរងគ្រោះត្រូវបានបញ្ជូនបន្តទៅកាន់ទំព័រចូល Microsoft ស្របច្បាប់ ដែលកាត់បន្ថយការសង្ស័យ និងបង្កើនលទ្ធភាពនៃការលួចព័ត៌មានសម្ងាត់ដោយជោគជ័យ។

ខណៈពេលដែលសកម្មភាពដែលត្រូវបានសង្កេតឃើញផ្តោតលើការប្រមូលផលព័ត៌មានសម្គាល់ អ្នកស្រាវជ្រាវបានព្រមានថាផលប៉ះពាល់អាចធ្ងន់ធ្ងរជាងនេះទៅទៀត។ កម្មវិធីបន្ថែមនេះត្រូវបានកំណត់រចនាសម្ព័ន្ធជាមួយនឹងការអនុញ្ញាត ReadWriteItem ដែលអាចឱ្យមានសមត្ថភាពអាន និងកែប្រែអ៊ីមែលរបស់អ្នកប្រើប្រាស់។ ភ្នាក់ងារគំរាមកំហែងដ៏ខ្លាំងក្លាម្នាក់អាចដាក់ពង្រាយ JavaScript ដែលមានសមត្ថភាពលួចយកខ្លឹមសារប្រអប់សំបុត្រដោយស្ងៀមស្ងាត់ ដោយបង្កើតវ៉ិចទ័រចារកម្មដ៏មានឥទ្ធិពលនៅក្នុងបរិយាកាសសហគ្រាស។

គម្លាតត្រួតពិនិត្យទីផ្សារដែលមានផលប៉ះពាល់កាន់តែទូលំទូលាយ

Microsoft ពិនិត្យមើល​បញ្ជី​កម្មវិធី​បន្ថែម​ក្នុងអំឡុងពេលដំណើរការដាក់ស្នើដំបូង ប៉ុន្តែមិនមាន​ការផ្ទៀងផ្ទាត់ជាបន្តបន្ទាប់​នៃខ្លឹមសារ​ផ្ទាល់​ដែលបម្រើដោយ URL ដែលបានយោង​បន្ទាប់ពីការអនុម័តនោះទេ។ នេះបង្កើតគម្លាត​ទំនុកចិត្ត​រចនាសម្ព័ន្ធ៖ បញ្ជី​ត្រូវបានចុះហត្ថលេខា​ម្តង ប៉ុន្តែខ្លឹមសារ​ពីចម្ងាយ​ដែលវាយោង​អាចផ្លាស់ប្តូរ​ដោយគ្មានកំណត់។

កម្មវិធីបន្ថែម AgreeTo ត្រូវបានចុះហត្ថលេខានៅក្នុងខែធ្នូ ឆ្នាំ២០២២។ ទោះបីជាខ្លឹមសារដើមស្របច្បាប់នៅពេលអនុម័តក៏ដោយ URL ដដែលនេះឥឡូវនេះបម្រើជាឧបករណ៍បន្លំបន្លំ ហើយកម្មវិធីបន្ថែមនេះនៅតែមាននៅក្នុងហាង។

បញ្ហានេះលាតសន្ធឹងហួសពីប្រព័ន្ធអេកូឡូស៊ីរបស់ Microsoft។ ទីផ្សារណាមួយដែលអនុម័តការដាក់ស្នើម្តងដោយមិនមានការត្រួតពិនិត្យជាបន្តបន្ទាប់នៃភាពអាស្រ័យថាមវន្តពីចម្ងាយគឺប្រឈមនឹងហានិភ័យស្រដៀងគ្នា។ ភាពទន់ខ្សោយនៃរចនាសម្ព័ន្ធគឺស្របគ្នានៅទូទាំងវេទិកា៖ អនុម័តម្តង ទុកចិត្តដោយគ្មានកំណត់។

ការកាត់បន្ថយជាយុទ្ធសាស្ត្រដើម្បីកាត់បន្ថយហានិភ័យទីផ្សារ

ដើម្បីដោះស្រាយចំណុចខ្សោយជាប្រព័ន្ធដែលលាតត្រដាងដោយ AgreeToSteal អ្នកជំនាញសន្តិសុខណែនាំវិធានការទប់ទល់មួយចំនួន៖

• បង្កឱ្យមានការពិនិត្យឡើងវិញដោយស្វ័យប្រវត្តិ នៅពេលដែល URL ដែលបានយោងរបស់កម្មវិធីបន្ថែមចាប់ផ្តើមបម្រើខ្លឹមសារដែលខុសគ្នាយ៉ាងខ្លាំងពីអ្វីដែលត្រូវបានពិនិត្យដំបូង។
• អនុវត្តការផ្ទៀងផ្ទាត់ភាពជាម្ចាស់កម្មសិទ្ធិដែន ដើម្បីបញ្ជាក់ថាហេដ្ឋារចនាសម្ព័ន្ធនៅតែស្ថិតនៅក្រោមការគ្រប់គ្រងរបស់អ្នកអភិវឌ្ឍន៍ និងសម្គាល់កម្មវិធីបន្ថែមដែលភាពជាម្ចាស់កម្មសិទ្ធិបង្ហោះផ្លាស់ប្តូរ។
• បង្កើតយន្តការដើម្បីលុបចេញពីបញ្ជី ឬព្រមានអ្នកប្រើប្រាស់អំពីកម្មវិធីបន្ថែមដែលមិនទាន់ត្រូវបានធ្វើបច្ចុប្បន្នភាពក្នុងរយៈពេលកំណត់។
• បង្ហាញចំនួនការដំឡើង ដើម្បីជួយវាយតម្លៃការប៉ះពាល់ និងផលប៉ះពាល់ដែលអាចកើតមាន។

ការត្រួតពិនិត្យជាបន្តបន្ទាប់នៃខ្លឹមសារផ្សាយផ្ទាល់ ជាជាងការពឹងផ្អែកតែលើការអនុម័តលើបញ្ជីសារពើភណ្ឌឋិតិវន្ត គឺមានសារៈសំខាន់ណាស់ក្នុងការកាត់បន្ថយហានិភ័យខ្សែសង្វាក់ផ្គត់ផ្គង់នៅក្នុងប្រព័ន្ធអេកូឡូស៊ីផ្នែកបន្ថែមទំនើប។

ការដាស់តឿនសម្រាប់ម៉ូដែលទុកចិត្តលើការពឹងផ្អែកថាមវន្ត

យុទ្ធនាការ AgreeToSteal បង្ហាញពីបញ្ហាប្រឈមជាមូលដ្ឋាននៅក្នុងគំរូចែកចាយកម្មវិធីសហសម័យ។ កម្មវិធីបន្ថែម Office ផ្នែកបន្ថែមកម្មវិធីរុករក និងឧបករណ៍ស្រដៀងគ្នាដែលបង្ហោះនៅលើទីផ្សារជារឿយៗពឹងផ្អែកលើខ្លឹមសារពីចម្ងាយ និងបម្រើដោយថាមវន្ត។

បើគ្មានការស្កេនឡើងវិញ និងការត្រួតពិនិត្យឥរិយាបថជាប្រចាំទេ កម្មវិធីដែលគួរឱ្យទុកចិត្តអាចវិវត្តទៅជាវ៉ិចទ័រវាយប្រហារដោយស្ងៀមស្ងាត់។

ករណីនេះបម្រើជាការព្រមានដល់ប្រតិបត្តិករវេទិកា និងអ្នកការពារសហគ្រាសដូចគ្នា៖ ទំនុកចិត្តត្រូវតែត្រូវបានផ្ទៀងផ្ទាត់ជាបន្តបន្ទាប់ ជាពិសេសនៅពេលដែលហេដ្ឋារចនាសម្ព័ន្ធពីចម្ងាយ និងការពឹងផ្អែកថាមវន្តត្រូវបានពាក់ព័ន្ធ។