मालिसियस आउटलुक एड-इनमा सहमति जनाउनुहोस्
साइबर सुरक्षा अनुसन्धानकर्ताहरूले जंगलमा पत्ता लागेको पहिलो ज्ञात दुर्भावनापूर्ण माइक्रोसफ्ट आउटलुक एड-इन पत्ता लगाएका छन्। AgreeToSteal कोडनाम दिइएको यो अभियानले माइक्रोसफ्टको अफिस एड-इन इकोसिस्टममा विश्वासको दुरुपयोग गर्ने एउटा नयाँ र समस्याग्रस्त आपूर्ति श्रृंखला आक्रमणलाई प्रतिनिधित्व गर्दछ।
यस घटनामा, एक धम्की दिने व्यक्तिले परित्याग गरिएको तर वैध आउटलुक एड-इनसँग सम्बन्धित डोमेनलाई अपहरण गर्यो। म्याद सकिएको पूर्वाधारलाई पुन: प्रयोग गरेर, आक्रमणकारीले नक्कली माइक्रोसफ्ट लगइन पृष्ठ तैनाथ गर्यो र ४,००० भन्दा बढी प्रयोगकर्ता प्रमाणहरू सफलतापूर्वक सङ्कलन गर्यो।
यो खोजले बजार-आधारित आपूर्ति श्रृंखला खतराहरूमा नयाँ चरणको संकेत गर्दछ, यस पटक यसको केन्द्रमा उद्यम उत्पादकता सफ्टवेयरलाई लक्षित गर्दै।
सामग्रीको तालिका
उत्पादकता उपकरणबाट फिसिङ भेक्टर सम्म
सम्झौता गरिएको एड-इन, जसलाई AgreeTo भनेर चिनिन्छ, मूल रूपमा प्रयोगकर्ताहरूलाई धेरै क्यालेन्डरहरू एकीकृत गर्न र इमेल मार्फत उपलब्धता साझा गर्न मद्दत गर्न विकसित गरिएको थियो। यो अन्तिम पटक डिसेम्बर २०२२ मा अपडेट गरिएको थियो।
परम्परागत मालवेयर वितरण अभियानहरू भन्दा फरक, यो आक्रमणमा कोडबेसमा रहेको जोखिमको शोषण समावेश थिएन। बरु, यसले अफिस एड-इनहरूले कसरी काम गर्छ भन्ने संरचनात्मक कमजोरीको फाइदा उठायो। अनुसन्धानकर्ताहरूले यसलाई ब्राउजर एक्सटेन्सनहरू, npm प्याकेजहरू, र IDE प्लगइनहरू, विश्वसनीय वितरण च्यानलहरूलाई असर गर्ने पहिले अवलोकन गरिएका आक्रमणहरूको भिन्नताको रूपमा वर्गीकृत गर्छन् जहाँ अनुमोदित सामग्री पछि छानबिन ट्रिगर नगरी परिवर्तन हुन सक्छ।
धेरै जटिल कारकहरूको कारणले गर्दा कार्यालय एड-इनहरूले बढ्दो जोखिम प्रस्तुत गर्दछ:
- तिनीहरू सिधै आउटलुक भित्र कार्यान्वयन गर्छन्, जहाँ अत्यधिक संवेदनशील सञ्चारहरू ह्यान्डल गरिन्छ।
- तिनीहरूले इमेलहरू पढ्ने र परिमार्जन गर्ने क्षमता सहित शक्तिशाली अनुमतिहरू अनुरोध गर्न सक्छन्।
- तिनीहरू माइक्रोसफ्टको आधिकारिक स्टोर मार्फत वितरण गरिन्छन्, जसले गर्दा प्रयोगकर्ताको विश्वास वंशानुगत रूपमा प्राप्त हुन्छ।
AgreeTo मुद्दाले एउटा महत्वपूर्ण वास्तविकतालाई जोड दिन्छ: मूल विकासकर्ताले केही पनि दुर्भावनापूर्ण काम गरेन। एक वैध उत्पादन सिर्जना गरियो र पछि त्यागियो। आक्रमणले परियोजना त्याग र बजार निरीक्षण बीचको खाडलको शोषण गर्यो।
कार्यालय एड-इन वास्तुकलाको शोषण गर्दै
यस घटनाको मुटुमा अफिस एड-इनहरूको डिजाइन रहेको छ। विकासकर्ताहरूले आफ्ना एड-इनहरू माइक्रोसफ्टको पार्टनर सेन्टर मार्फत बुझाउँछन्, जहाँ समाधान समीक्षा र स्वीकृतिबाट गुज्रिन्छ। यद्यपि, अनुमोदन धेरै हदसम्म म्यानिफेस्ट फाइलमा बाँधिएको हुन्छ, स्थिर कोड प्याकेजमा होइन।
अफिस एड-इनहरू परम्परागत सफ्टवेयर भन्दा मौलिक रूपमा फरक हुन्छन्। बन्डल कोड पठाउनुको सट्टा, म्यानिफेस्ट फाइलले URL निर्दिष्ट गर्दछ। प्रत्येक पटक आउटलुक भित्र एड-इन खोल्दा, अनुप्रयोगले त्यो URL बाट प्रत्यक्ष सामग्री पुन: प्राप्त गर्दछ र यसलाई iframe भित्र रेन्डर गर्दछ।
यो वास्तुकला मोडेलले एक महत्वपूर्ण एक्सपोजर प्रस्तुत गर्दछ: एक पटक स्वीकृत र हस्ताक्षर गरिसकेपछि, एड-इनले वास्तविक समयमा सन्दर्भित URL ले सेवा गर्ने जुनसुकै सामग्री लोड गर्न जारी राख्छ। यदि त्यो URL को नियन्त्रण परिवर्तन हुन्छ भने, डोमेन म्याद समाप्ति वा पूर्वाधार परित्यागको कारणले गर्दा, हस्ताक्षर गरिएको म्यानिफेस्ट परिमार्जन नगरी दुर्भावनापूर्ण सामग्री प्रस्तुत गर्न सकिन्छ।
AgreeTo केसमा, म्यानिफेस्टले Vercel-होस्ट गरिएको URL (outlook-one.vercel[.]app) लाई सन्दर्भित गर्यो। विकासकर्ताको डिप्लोयमेन्ट मेटाइएपछि र २०२३ वरिपरि परियोजना प्रभावकारी रूपमा त्यागिएको वेयर बनेपछि, URL दाबीयोग्य भयो। एड-इन माइक्रोसफ्टको स्टोरमा सूचीबद्ध रहँदा आक्रमणकारीले यसको नियन्त्रण कब्जा गर्यो।
रिपोर्टिङ गर्दासम्म, पूर्वाधार सक्रिय छ।
फिसिङ कार्यान्वयन र प्रमाणहरू एक्सफिल्ट्रेसन
परित्याग गरिएको तैनाती दाबी गरेपछि, आक्रमणकारीले सन्दर्भित URL मा फिसिङ किट होस्ट गर्यो। दुर्भावनापूर्ण सामग्रीले प्रयोगकर्ता प्रमाणहरू खिच्न डिजाइन गरिएको नक्कली माइक्रोसफ्ट साइन-इन पृष्ठ प्रदर्शन गर्यो।
क्याप्चर गरिएका पासवर्डहरू टेलिग्राम बट एपीआई प्रयोग गरेर हटाइयो। त्यसपछि पीडितहरूलाई वैध माइक्रोसफ्ट लगइन पृष्ठमा रिडिरेक्ट गरियो, जसले गर्दा शंका कम भयो र सफल प्रमाणपत्र चोरीको सम्भावना बढ्यो।
अवलोकन गरिएको गतिविधि क्रेडेन्सियल कटाईमा केन्द्रित भए पनि, अनुसन्धानकर्ताहरूले चेतावनी दिएका छन् कि प्रभाव उल्लेखनीय रूपमा बढी गम्भीर हुन सक्थ्यो। एड-इन ReadWriteItem अनुमतिहरूसँग कन्फिगर गरिएको थियो, जसले प्रयोगकर्ता इमेलहरू पढ्न र परिमार्जन गर्ने क्षमतालाई सक्षम बनायो। एक अधिक आक्रामक खतरा अभिनेताले जाभास्क्रिप्ट तैनाथ गर्न सक्थ्यो जसले मेलबक्स सामग्रीहरू चुपचाप बाहिर निकाल्न सक्षम हुन्थ्यो, उद्यम वातावरण भित्र एक शक्तिशाली जासूसी भेक्टर सिर्जना गर्थ्यो।
फराकिलो प्रभावहरू सहितको बजार निरीक्षण अन्तर
माइक्रोसफ्टले प्रारम्भिक पेश गर्ने प्रक्रियाको क्रममा एड-इन म्यानिफेस्टहरूको समीक्षा गर्छ, तर अनुमोदन पछि सन्दर्भित URL हरू द्वारा प्रस्तुत गरिएको प्रत्यक्ष सामग्रीको निरन्तर प्रमाणीकरण हुँदैन। यसले संरचनात्मक विश्वासको खाडल सिर्जना गर्दछ: म्यानिफेस्ट एक पटक हस्ताक्षर गरिन्छ, तर यसले सन्दर्भ गरेको रिमोट सामग्री अनिश्चित कालसम्म परिवर्तन हुन सक्छ।
AgreeTo एड-इन डिसेम्बर २०२२ मा हस्ताक्षर गरिएको थियो। यद्यपि मूल सामग्री स्वीकृतिको समयमा वैध थियो, उही URL अब फिसिङ किटको रूपमा काम गर्दछ, र एड-इन स्टोरमा उपलब्ध रहन्छ।
यो मुद्दा माइक्रोसफ्टको इकोसिस्टमभन्दा बाहिर फैलिएको छ। रिमोट डायनामिक डिपेन्डेन्सीहरूको निरन्तर अनुगमन बिना एक पटक सबमिशन स्वीकृत गर्ने कुनै पनि बजार समान जोखिममा पर्दछ। संरचनात्मक कमजोरी प्लेटफर्महरूमा एकरूप छ: एक पटक अनुमोदन गर्नुहोस्, अनिश्चित कालसम्म विश्वास गर्नुहोस्।
बजार जोखिम कम गर्न रणनीतिक न्यूनीकरण
AgreeToSteal द्वारा उजागर गरिएका प्रणालीगत कमजोरीहरूलाई सम्बोधन गर्न, सुरक्षा विज्ञहरूले धेरै प्रतिरोधात्मक उपायहरू सिफारिस गर्छन्:
- जब कुनै एड-इनको सन्दर्भित URL ले मूल रूपमा समीक्षा गरिएको भन्दा भौतिक रूपमा फरक सामग्री प्रस्तुत गर्न थाल्छ, तब स्वचालित पुन: समीक्षा ट्रिगर गर्नुहोस्।
- पूर्वाधार विकासकर्ताको नियन्त्रणमा रहेको पुष्टि गर्न डोमेन स्वामित्व प्रमाणीकरण लागू गर्नुहोस्, र होस्टिङ स्वामित्व परिवर्तन हुने ठाउँहरूमा एड-इनहरूलाई फ्ल्याग गर्नुहोस्।
- परिभाषित समयसीमा भित्र अद्यावधिक नगरिएका एड-इनहरूको बारेमा प्रयोगकर्ताहरूलाई सूचीबाट हटाउन वा चेतावनी दिन संयन्त्र स्थापना गर्नुहोस्।
- एक्सपोजर र सम्भावित प्रभावको मूल्याङ्कन गर्न मद्दत गर्न डिस्प्ले स्थापना गणनाहरू।
आधुनिक विस्तार इकोसिस्टममा आपूर्ति श्रृंखला जोखिमहरू कम गर्न स्थिर प्रकट अनुमोदनमा मात्र भर पर्नुको सट्टा प्रत्यक्ष सामग्रीको निरन्तर अनुगमन आवश्यक छ।
गतिशील निर्भरता ट्रस्ट मोडेलहरूको लागि एक जागरण आह्वान
AgreeToSteal अभियानले समकालीन सफ्टवेयर वितरण मोडेलहरूमा आधारभूत चुनौतीलाई चित्रण गर्दछ। अफिस एड-इनहरू, ब्राउजर एक्सटेन्सनहरू, र समान बजार-होस्ट गरिएका उपकरणहरू प्रायः टाढाको, गतिशील रूपमा सेवा गरिएको सामग्रीमा निर्भर हुन्छन्।
आवधिक पुन: स्क्यानिङ र व्यवहारिक अनुगमन बिना, विश्वसनीय अनुप्रयोगहरू चुपचाप आक्रमण भेक्टरहरूमा विकसित हुन सक्छन्।
यो केसले प्लेटफर्म अपरेटरहरू र इन्टरप्राइज डिफेन्डरहरूलाई समान रूपमा चेतावनीको रूपमा काम गर्दछ: विश्वासलाई निरन्तर मान्य गरिनुपर्छ, विशेष गरी जब टाढाको पूर्वाधार र गतिशील निर्भरताहरू संलग्न हुन्छन्।
