Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware Akkoord met de schadelijke Outlook-invoeging

Akkoord met de schadelijke Outlook-invoeging

Tegen Mezo in Malware, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

Onderzoekers op het gebied van cyberbeveiliging hebben naar verluidt de eerste bekende kwaadaardige Microsoft Outlook-invoegtoepassing in de praktijk ontdekt. De campagne, met de codenaam AgreeToSteal, vertegenwoordigt een nieuwe en verontrustende aanval op de toeleveringsketen die misbruik maakt van het vertrouwen in het ecosysteem van Microsoft Office-invoegtoepassingen.

Bij dit incident kaapte een cybercrimineel het domein dat gekoppeld was aan een verlaten, maar legitieme Outlook-invoegtoepassing. Door de verlopen infrastructuur opnieuw te gebruiken, implementeerde de aanvaller een vervalste Microsoft-inlogpagina en wist hij met succes meer dan 4000 gebruikersgegevens te bemachtigen.

Deze ontdekking luidt een nieuwe fase in voor marktgerichte bedreigingen in de toeleveringsketen, ditmaal gericht op de kern van productiviteitssoftware voor bedrijven.

Van productiviteitstool tot phishingvector

De gehackte add-in, bekend als AgreeTo, was oorspronkelijk ontwikkeld om gebruikers te helpen meerdere agenda's te consolideren en hun beschikbaarheid via e-mail te delen. De laatste update dateert van december 2022.

In tegenstelling tot traditionele malwarecampagnes, maakte deze aanval geen gebruik van een kwetsbaarheid in de code. In plaats daarvan werd een structurele zwakte in de werking van Office-invoegtoepassingen uitgebuit. Onderzoekers beschouwen dit als een variant op eerder waargenomen aanvallen op browserextensies, npm-pakketten en IDE-plug-ins, vertrouwde distributiekanalen waar goedgekeurde inhoud later kan worden gewijzigd zonder dat dit tot controle leidt.

Office-add-ins brengen een verhoogd risico met zich mee vanwege verschillende factoren die elkaar versterken:

  • Ze voeren de acties rechtstreeks uit binnen Outlook, waar zeer gevoelige communicatie wordt afgehandeld.
  • Ze kunnen uitgebreide machtigingen aanvragen, waaronder de mogelijkheid om e-mails te lezen en te bewerken.
  • Ze worden gedistribueerd via de officiële Microsoft Store en genieten daardoor impliciet het vertrouwen van de gebruiker.

De AgreeTo-zaak onderstreept een cruciale realiteit: de oorspronkelijke ontwikkelaar heeft niets kwaadaardigs gedaan. Er werd een legitiem product gemaakt dat later werd stopgezet. De aanval maakte misbruik van de kloof tussen het stopzetten van het project en het toezicht van de markt.

De architectuur van Office-invoegtoepassingen optimaal benutten

De kern van het incident ligt in het ontwerp van Office-invoegtoepassingen. Ontwikkelaars dienen hun invoegtoepassingen in via het Microsoft Partner Center, waar de oplossing wordt beoordeeld en goedgekeurd. De goedkeuring is echter grotendeels gebaseerd op een manifestbestand, niet op een statisch codepakket.

Office-invoegtoepassingen verschillen fundamenteel van conventionele software. In plaats van gebundelde code te leveren, specificeert het manifestbestand een URL. Telkens wanneer de invoegtoepassing in Outlook wordt geopend, haalt de toepassing live-inhoud op van die URL en geeft deze weer in een iframe.

Dit architectuurmodel introduceert een kritiek risico: zodra de add-in is goedgekeurd en ondertekend, blijft deze in realtime de inhoud laden die de betreffende URL levert. Als de controle over die URL verandert, bijvoorbeeld door het verlopen van een domein of het stopzetten van de infrastructuur, kan er kwaadaardige inhoud worden geïntroduceerd zonder dat het ondertekende manifest hoeft te worden aangepast.

In het geval van AgreeTo verwees het manifest naar een URL die gehost werd door Vercel (outlook-one.vercel[.]app). Nadat de implementatie van de ontwikkelaar was verwijderd en het project rond 2023 feitelijk als abandonware werd beschouwd, werd de URL beschikbaar voor een aanvaller. Een aanvaller nam de controle over de URL over terwijl de add-in nog steeds in de Microsoft Store stond vermeld.

Op het moment van schrijven is de infrastructuur nog steeds actief.

Phishingaanval en het stelen van inloggegevens

Nadat de aanvaller de afgebroken implementatie had opgeëist, plaatste hij een phishingkit op de genoemde URL. De kwaadaardige inhoud toonde een nep-aanmeldpagina van Microsoft, ontworpen om gebruikersgegevens te bemachtigen.

Onderschepte wachtwoorden werden via de Telegram Bot API buitgemaakt. Slachtoffers werden vervolgens doorgestuurd naar de legitieme Microsoft-inlogpagina, waardoor de argwaan afnam en de kans op succesvolle diefstal van inloggegevens toenam.

Hoewel de waargenomen activiteit zich richtte op het verzamelen van inloggegevens, waarschuwen onderzoekers dat de impact aanzienlijk ernstiger had kunnen zijn. De add-in was geconfigureerd met ReadWriteItem-rechten, waardoor het mogelijk was om e-mails van gebruikers te lezen en te wijzigen. Een agressievere aanvaller had JavaScript kunnen inzetten dat in staat is om stilletjes de inhoud van mailboxen te stelen, waardoor een krachtige spionagemogelijkheid binnen bedrijfsomgevingen zou ontstaan.

Een lacune in het markttoezicht met bredere implicaties

Microsoft beoordeelt add-in-manifesten tijdens het initiële indieningsproces, maar er vindt geen continue validatie plaats van de live-inhoud die via de gekoppelde URL's wordt aangeboden na goedkeuring. Dit creëert een structureel vertrouwensprobleem: het manifest wordt eenmaal ondertekend, maar de externe inhoud waarnaar het verwijst, kan onbeperkt veranderen.

De AgreeTo-add-in werd in december 2022 ondertekend. Hoewel de oorspronkelijke inhoud legitiem was op het moment van goedkeuring, leidt dezelfde URL nu naar een phishingkit en is de add-in nog steeds beschikbaar in de store.

Dit probleem reikt verder dan het ecosysteem van Microsoft. Elke marktplaats die een inzending eenmalig goedkeurt zonder voortdurende monitoring van externe dynamische afhankelijkheden, loopt vergelijkbare risico's. De structurele zwakte is consistent op alle platformen: eenmaal goedkeuren, onbeperkt vertrouwen.

Strategische maatregelen om het marktrisico te verlagen

Om de systemische zwakheden aan te pakken die AgreeToSteal aan het licht heeft gebracht, bevelen beveiligingsexperts verschillende tegenmaatregelen aan:

  • Activeer automatische herbeoordelingen wanneer de URL waarnaar een invoegtoepassing verwijst, inhoud begint weer te geven die wezenlijk verschilt van wat oorspronkelijk is beoordeeld.
  • Implementeer validatie van domeineigendom om te bevestigen dat de infrastructuur onder controle van de ontwikkelaar blijft, en markeer add-ins wanneer het hostingeigendom verandert.
  • Stel mechanismen in om gebruikers te verwijderen uit de lijst met add-ins of hen te waarschuwen als deze niet binnen de vastgestelde termijnen zijn bijgewerkt.
  • Het aantal installaties wordt weergegeven om de blootstelling en de potentiële impact te kunnen inschatten.

Continue monitoring van live content, in plaats van uitsluitend te vertrouwen op statische goedkeuring van manifesten, is essentieel voor het beperken van risico's in de toeleveringsketen binnen moderne ecosystemen voor software-uitbreiding.

Een waarschuwing voor dynamische afhankelijkheidsvertrouwensmodellen

De AgreeToSteal-campagne illustreert een fundamentele uitdaging in hedendaagse softwaredistributiemodellen. Office-add-ins, browserextensies en vergelijkbare tools die via een marketplace worden aangeboden, zijn vaak afhankelijk van op afstand aangeleverde, dynamisch gegenereerde content.

Zonder periodieke herscans en gedragsmonitoring kunnen vertrouwde applicaties ongemerkt veranderen in aanvalsvectoren.

Deze zaak dient als waarschuwing voor zowel platformbeheerders als beveiligingsspecialisten binnen bedrijven: vertrouwen moet voortdurend worden gevalideerd, met name wanneer er sprake is van externe infrastructuur en dynamische afhankelijkheden.

Trending

Meest bekeken

Bezig met laden...