Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra Ļaunprātīga Outlook pievienojumprogramma AgreeTo

Ļaunprātīga Outlook pievienojumprogramma AgreeTo

Līdz Mezo. gadam Ļaunprātīga programmatūra, Advanced Persistent Threat (APT). gadā
Tulkot uz:

Kiberdrošības pētnieki ir atklājuši, domājams, pirmo zināmo ļaunprātīgo Microsoft Outlook pievienojumprogrammu, kas atklāta dabā. Kampaņa ar koda nosaukumu AgreeToSteal ir jauns un satraucošs piegādes ķēdes uzbrukums, kas ļaunprātīgi izmanto uzticību Microsoft Office pievienojumprogrammu ekosistēmai.

Šajā incidentā uzbrucējs nolaupīja domēnu, kas saistīts ar pamestu, bet likumīgu Outlook pievienojumprogrammu. Pārlietojot novecojušu infrastruktūru, uzbrucējs izvietoja viltotu Microsoft pieteikšanās lapu un veiksmīgi ieguva vairāk nekā 4000 lietotāju akreditācijas datus.

Šis atklājums iezīmē jaunu fāzi tirgus balstītos piegādes ķēdes apdraudējumos, šoreiz mērķējot uz uzņēmumu produktivitātes programmatūru.

No produktivitātes rīka līdz pikšķerēšanas vektoram

Apdraudētā pievienojumprogramma, kas pazīstama kā AgreeTo, sākotnēji tika izstrādāta, lai palīdzētu lietotājiem apvienot vairākus kalendārus un kopīgot pieejamību, izmantojot e-pastu. Tā pēdējo reizi tika atjaunināta 2022. gada decembrī.

Atšķirībā no tradicionālajām ļaunprogrammatūras izplatīšanas kampaņām, šis uzbrukums nebija saistīts ar koda bāzes ievainojamības izmantošanu. Tā vietā tas izmantoja strukturālu trūkumu Office pievienojumprogrammu darbībā. Pētnieki to klasificē kā iepriekš novērotu uzbrukumu variāciju, kas ietekmē pārlūkprogrammas paplašinājumus, npm pakotnes un IDE spraudņus — uzticamus izplatīšanas kanālus, kuros apstiprinātais saturs vēlāk var mainīties, neizraisot pārbaudi.

Office pievienojumprogrammas rada paaugstinātu risku vairāku salikto faktoru dēļ:

  • Tie tiek izpildīti tieši programmā Outlook, kur tiek apstrādāta ļoti sensitīva saziņa.
  • Viņi var pieprasīt spēcīgas atļaujas, tostarp iespēju lasīt un modificēt e-pastus.
  • Tie tiek izplatīti, izmantojot Microsoft oficiālo veikalu, mantojot netiešu lietotāja uzticību.

AgreeTo lieta uzsver kritisku realitāti: sākotnējais izstrādātājs neko ļaunprātīgu nedarīja. Tika izveidots likumīgs produkts, bet vēlāk tā darbība tika pārtraukta. Uzbrukumā tika izmantota plaisa starp projekta pārtraukšanu un tirgus uzraudzību.

Office pievienojumprogrammu arhitektūras izmantošana

Incidenta pamatā ir Office pievienojumprogrammu dizains. Izstrādātāji iesniedz savus pievienojumprogrammas, izmantojot Microsoft partneru centru, kur risinājums tiek pārskatīts un apstiprināts. Tomēr apstiprināšana lielā mērā ir saistīta ar manifesta failu, nevis statisku koda pakotni.

Office pievienojumprogrammas būtiski atšķiras no parastās programmatūras. Manifesta failā nav iekļauts kods, bet gan norādīts URL. Katru reizi, kad pievienojumprogramma tiek atvērta programmā Outlook, lietojumprogramma no šī URL izgūst tiešraides saturu un atveido to iframe ietvaros.

Šis arhitektūras modelis ievieš kritisku risku: pēc apstiprināšanas un parakstīšanas pievienojumprogramma turpina ielādēt visu saturu, ko reāllaikā nodrošina atsauces URL. Ja mainās šī URL kontrole domēna termiņa beigām vai infrastruktūras pamešanas dēļ, ļaunprātīgu saturu var ieviest, nemainot parakstīto manifestu.

AgreeTo gadījumā manifestā bija atsauce uz Vercel mitinātu URL (outlook-one.vercel[.]app). Pēc tam, kad izstrādātāja izvietojums tika dzēsts un projekts ap 2023. gadu faktiski kļuva par abandonware, URL kļuva pieprasāms. Uzbrucējs pārņēma tā kontroli, kamēr pievienojumprogramma palika sarakstā Microsoft veikalā.

Ziņošanas brīdī infrastruktūra joprojām ir aktīva.

Pikšķerēšanas izpilde un akreditācijas datu eksfiltrācija

Pēc tam, kad uzbrucējs bija pieprasījis pamesto izvietojumu, viņš norādītajā URL izvietoja pikšķerēšanas komplektu. Ļaunprātīgajā saturā tika parādīta viltota Microsoft pieteikšanās lapa, kas paredzēta lietotāja akreditācijas datu iegūšanai.

Uztvertās paroles tika nozagtas, izmantojot Telegram Bot API. Pēc tam upuri tika novirzīti uz likumīgu Microsoft pieteikšanās lapu, tādējādi samazinot aizdomas un palielinot veiksmīgas akreditācijas datu zādzības iespējamību.

Lai gan novērotā aktivitāte bija vērsta uz akreditācijas datu iegūšanu, pētnieki brīdina, ka ietekme varēja būt ievērojami nopietnāka. Papildinājums bija konfigurēts ar ReadWriteItem atļaujām, kas ļāva lasīt un modificēt lietotāju e-pastus. Agresīvāks apdraudējumu izpildītājs varēja izvietot JavaScript, kas spēj nemanāmi izgūt pastkastes saturu, radot spēcīgu spiegošanas vektoru uzņēmumu vidē.

Tirgus uzraudzības plaisa ar plašākām sekām

Microsoft pārskata pievienojumprogrammu manifestus sākotnējā iesniegšanas procesa laikā, taču pēc apstiprināšanas netiek nepārtraukti validēts atsauces vietrāžu URL nodrošinātais tiešraides saturs. Tas rada strukturālu uzticamības plaisu: manifests tiek parakstīts vienreiz, tomēr attālais saturs, uz kuru tas atsaucas, var mainīties bezgalīgi.

AgreeTo pievienojumprogramma tika parakstīta 2022. gada decembrī. Lai gan sākotnējais saturs apstiprināšanas brīdī bija likumīgs, tas pats URL tagad kalpo pikšķerēšanas komplektam, un pievienojumprogramma joprojām ir pieejama veikalā.

Šī problēma sniedzas tālāk par Microsoft ekosistēmu. Jebkurš tirgus, kas apstiprina iesniegumu vienreiz, nepārtraukti neuzraugot attālās dinamiskās atkarības, ir pakļauts līdzīgiem riskiem. Strukturālais trūkums ir raksturīgs visām platformām: apstiprini vienreiz, uzticies bezgalīgi.

Stratēģiski mazināšanas pasākumi tirgus riska mazināšanai

Lai novērstu AgreeToSteal atklātās sistēmiskās nepilnības, drošības eksperti iesaka vairākus pretpasākumus:

  • Aktivizēt automātisku atkārtotu pārskatīšanu, ja pievienojumprogrammas atsauces URL sāk rādīt saturu, kas būtiski atšķiras no sākotnēji pārskatītā.
  • Ieviesiet domēna īpašumtiesību validāciju, lai apstiprinātu, ka infrastruktūra paliek izstrādātāja kontrolē, un atzīmējiet pievienojumprogrammas, ja mainās mitināšanas īpašumtiesības.
  • Izveidojiet mehānismus, lai noņemtu no saraksta vai brīdinātu lietotājus par pievienojumprogrammām, kas nav atjauninātas noteiktajos laika periodos.
  • Reklāmas stendu instalāciju skaits, lai palīdzētu novērtēt ekspozīciju un iespējamo ietekmi.

Nepārtraukta tiešraides satura uzraudzība, nevis tikai paļaušanās uz statisku manifesta apstiprinājumu, ir būtiska, lai mazinātu piegādes ķēdes riskus mūsdienu paplašināšanas ekosistēmās.

Modināšanas zvans dinamisko atkarību uzticamības modeļiem

Kampaņa “AgreeToSteal” ilustrē fundamentālu izaicinājumu mūsdienu programmatūras izplatīšanas modeļos. Office pievienojumprogrammas, pārlūkprogrammas paplašinājumi un līdzīgi tirgus platformā mitināti rīki bieži vien paļaujas uz attālinātu, dinamiski piegādātu saturu.

Bez periodiskas atkārtotas skenēšanas un uzvedības uzraudzības uzticamas lietojumprogrammas var nemanāmi attīstīties par uzbrukuma vektoriem.

Šis gadījums kalpo kā brīdinājums gan platformu operatoriem, gan uzņēmumu aizstāvjiem: uzticēšanās ir nepārtraukti jāapstiprina, jo īpaši, ja ir iesaistīta attāla infrastruktūra un dinamiskās atkarības.

Tendences

TeamPCP tārps

Advanced Persistent Threat (APT), Ļaunprātīga programmatūra, Tārpi
Kiberdrošības pētnieki ir atklājuši plašu, tārpu vadītu kampaņu, kas sistemātiski uzbrūk mākoņvidēm, lai izveidotu ļaunprātīgu infrastruktūru turpmākai izmantošanai. Ar šo operāciju saistītā aktivitāte tika novērota ap 2025. gada 25. decembri, atklājot koordinētus centienus ļaunprātīgi izmantot neaizsargātus pakalpojumus un ievainojamības mūsdienu mākoņpakalpojumos. TeamPCP: strauji augošs...

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
26,373
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...