Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Zlonamerni dodatek za Outlook AgreeTo

Zlonamerni dodatek za Outlook AgreeTo

Do leta Mezo leta Zlonamerna programska oprema, Napredna trajna grožnja (APT)
Prevedi v:

Raziskovalci kibernetske varnosti so odkrili domnevno prvi znani zlonamerni dodatek za Microsoft Outlook, ki so ga zaznali v naravi. Kampanja z kodnim imenom AgreeToSteal predstavlja nov in zaskrbljujoč napad v dobavni verigi, ki zlorablja zaupanje v ekosistem dodatkov za Microsoft Office.

V tem incidentu je napadalec ugrabil domeno, povezano z zapuščenim, a legitimnim dodatkom za Outlook. Z uporabo pretečene infrastrukture je napadalec namestil ponarejeno prijavno stran Microsoft in uspešno pridobil več kot 4000 uporabniških poverilnic.

To odkritje nakazuje novo fazo groženj v dobavni verigi, ki temeljijo na trgu, tokrat pa je v samem jedru usmerjena v programsko opremo za produktivnost podjetij.

Od orodja za produktivnost do vektorja lažnega predstavljanja

Ogroženi dodatek, znan kot AgreeTo, je bil prvotno razvit za pomoč uporabnikom pri združevanju več koledarjev in deljevanju razpoložljivosti prek e-pošte. Nazadnje je bil posodobljen decembra 2022.

Za razliko od tradicionalnih kampanj za distribucijo zlonamerne programske opreme ta napad ni vključeval izkoriščanja ranljivosti v kodni bazi. Namesto tega je izkoristil strukturno slabost v delovanju dodatkov za Office. Raziskovalci to uvrščajo med različice prej opaženih napadov, ki vplivajo na razširitve brskalnika, pakete npm in vtičnike IDE, zaupanja vredne distribucijske kanale, kjer se lahko odobrena vsebina pozneje spremeni, ne da bi to sprožilo nadzor.

Dodatki za Office predstavljajo povečano tveganje zaradi več dejavnikov, ki se seštevajo:

  • Izvajajo se neposredno v Outlooku, kjer se obravnavajo zelo občutljive komunikacije.
  • Lahko zahtevajo močna dovoljenja, vključno z možnostjo branja in spreminjanja e-poštnih sporočil.
  • Distribuirajo se prek Microsoftove uradne trgovine in podedujejo implicitno zaupanje uporabnikov.

Primer AgreeTo poudarja ključno dejstvo: prvotni razvijalec ni storil ničesar zlonamernega. Ustvarjen je bil legitimen izdelek, ki je bil kasneje opuščen. Napad je izkoristil vrzel med opustitvijo projekta in nadzorom trga.

Izkoriščanje arhitekture dodatkov za Office

V središču incidenta je zasnova dodatkov za Office. Razvijalci svoje dodatke predložijo prek Microsoftovega partnerskega centra, kjer rešitev pregledajo in odobrijo. Vendar je odobritev v veliki meri vezana na datoteko manifesta in ne na paket statične kode.

Dodatki za Office se bistveno razlikujejo od običajne programske opreme. Namesto da bi pošiljali priloženo kodo, datoteka manifesta določa URL. Vsakič, ko se dodatek odpre v Outlooku, aplikacija pridobi vsebino v živo s tega URL-ja in jo upodobi znotraj okvirja iframe.

Ta arhitekturni model uvaja ključno izpostavljenost: ko je dodatek odobren in podpisan, še naprej nalaga vsebino, ki jo prikazuje navedeni URL, v realnem času. Če se nadzor nad tem URL-jem spremeni zaradi poteka domene ali opustitve infrastrukture, se lahko zlonamerna vsebina vnese brez spreminjanja podpisanega manifesta.

V primeru AgreeTo se je manifest skliceval na URL, ki ga gosti Vercel (outlook-one.vercel[.]app). Potem ko je bila razvijalčeva uvedba izbrisana in je projekt okoli leta 2023 dejansko postal zapuščena programska oprema, je URL postal mogoče zahtevati. Napadalec je prevzel nadzor nad njim, medtem ko je dodatek ostal naveden v Microsoftovi trgovini.

Po poročanju je infrastruktura še vedno aktivna.

Izvajanje lažnega predstavljanja in krajo poverilnic

Potem ko je zahteval opuščeno uvedbo, je napadalec na navedenem URL-ju gostil komplet za lažno predstavljanje. Zlonamerna vsebina je prikazovala lažno stran za prijavo v Microsoft, namenjeno zajemanju uporabniških poverilnic.

Zajeta gesla so bila ukradena z uporabo API-ja Telegram Bot. Žrtve so bile nato preusmerjene na legitimno prijavno stran Microsofta, kar je zmanjšalo sum in povečalo verjetnost uspešne kraje poverilnic.

Čeprav se je opažena dejavnost osredotočala na pridobivanje poverilnic, raziskovalci opozarjajo, da bi lahko bil vpliv bistveno hujši. Dodatek je bil konfiguriran z dovoljenji ReadWriteItem, kar je omogočalo branje in spreminjanje uporabniških e-poštnih sporočil. Agresivnejši akter v napadu bi lahko uporabil JavaScript, ki bi lahko tiho izbrskal vsebino poštnih nabiralnikov in ustvaril močan vektor vohunjenja v poslovnih okoljih.

Vrzel v nadzoru trga s širšimi posledicami

Microsoft pregleda manifeste dodatkov med začetnim postopkom oddaje, vendar po odobritvi ni stalnega preverjanja žive vsebine, ki jo zagotavljajo navedeni URL-ji. To ustvarja strukturno vrzel v zaupanju: manifest je podpisan enkrat, vendar se lahko oddaljena vsebina, na katero se sklicuje, spreminja v nedogled.

Dodatek AgreeTo je bil podpisan decembra 2022. Čeprav je bila prvotna vsebina v času odobritve legitimna, isti URL zdaj služi kot komplet za lažno predstavljanje, dodatek pa ostaja na voljo v trgovini.

Ta težava sega onkraj Microsoftovega ekosistema. Vsako tržišče, ki enkrat odobri oddajo brez stalnega spremljanja oddaljenih dinamičnih odvisnosti, je izpostavljeno podobnim tveganjem. Strukturna slabost je enaka na vseh platformah: enkrat odobri, zaupaj za nedoločen čas.

Strateški ukrepi za zmanjšanje tveganja na trgu

Za odpravo sistemskih slabosti, ki jih je razkril AgreeToSteal, varnostni strokovnjaki priporočajo več protiukrepov:

  • Sproži samodejne ponovne preglede, ko URL, na katerega se sklicuje dodatek, začne prikazovati vsebino, ki se bistveno razlikuje od prvotno pregledane.
  • Izvedite preverjanje lastništva domene, da potrdite, da infrastruktura ostaja pod nadzorom razvijalca, in označite dodatke, kjer se lastništvo gostovanja spremeni.
  • Vzpostavite mehanizme za odstranitev ali opozarjanje uporabnikov na dodatke, ki niso bili posodobljeni v določenih časovnih okvirih.
  • Prikažite število namestitev, da boste lažje ocenili izpostavljenost in morebitni vpliv.

Stalno spremljanje vsebine v živo, namesto da se zanašate zgolj na odobritev statičnega manifesta, je bistvenega pomena za zmanjševanje tveganj v dobavni verigi v sodobnih ekosistemih razširitve.

Klic prebujanju za modele zaupanja dinamične odvisnosti

Kampanja AgreeToSteal ponazarja temeljni izziv v sodobnih modelih distribucije programske opreme. Dodatki za Office, razširitve brskalnika in podobna orodja, ki jih gostijo tržnice, se pogosto zanašajo na oddaljeno, dinamično streženo vsebino.

Brez rednega ponovnega skeniranja in spremljanja vedenja se lahko zaupanja vredne aplikacije neopazno razvijejo v vektorje napadov.

Ta primer služi kot opozorilo tako upravljavcem platform kot zagovornikom podjetij: zaupanje je treba nenehno preverjati, zlasti ko gre za oddaljeno infrastrukturo in dinamične odvisnosti.

V trendu

Črv TeamPCP

Napredna trajna grožnja (APT), Zlonamerna programska oprema, Črvi
Raziskovalci kibernetske varnosti so odkrili obsežno kampanjo, ki jo poganjajo črvi in sistematično cilja na oblačna okolja z namenom gradnje zlonamerne infrastrukture za kasnejšo izkoriščanje. Aktivnost, povezana s to operacijo, je bila opažena okoli 25. decembra 2025, kar razkriva usklajen poskus zlorabe izpostavljenih storitev in ranljivosti v sodobnih oblačnih skladih. TeamPCP: Hitro...

Najbolj gledan

Nalaganje...