தீங்கிழைக்கும் அவுட்லுக் துணை நிரலுக்கு ஒப்புக்கொள்கிறேன்
சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள், காட்டுப்பகுதியில் கண்டறியப்பட்ட முதல் அறியப்பட்ட தீங்கிழைக்கும் மைக்ரோசாஃப்ட் அவுட்லுக் ஆட்-இன் என்று நம்பப்படுவதைக் கண்டுபிடித்துள்ளனர். AgreeToSteal என்ற குறியீட்டுப் பெயரிடப்பட்ட இந்த பிரச்சாரம், மைக்ரோசாஃப்டின் அலுவலக ஆட்-இன் சுற்றுச்சூழல் அமைப்பின் மீதான நம்பிக்கையை துஷ்பிரயோகம் செய்யும் ஒரு புதுமையான மற்றும் தொந்தரவான விநியோகச் சங்கிலி தாக்குதலைக் குறிக்கிறது.
இந்த சம்பவத்தில், ஒரு அச்சுறுத்தல் நபர் கைவிடப்பட்ட ஆனால் முறையான Outlook துணை நிரலுடன் தொடர்புடைய டொமைனைக் கடத்தினார். காலாவதியான உள்கட்டமைப்பை மீண்டும் பயன்படுத்துவதன் மூலம், தாக்குபவர் ஒரு போலியான Microsoft உள்நுழைவு பக்கத்தைப் பயன்படுத்தி 4,000 க்கும் மேற்பட்ட பயனர் சான்றுகளை வெற்றிகரமாகப் பெற்றார்.
இந்தக் கண்டுபிடிப்பு சந்தை அடிப்படையிலான விநியோகச் சங்கிலி அச்சுறுத்தல்களில் ஒரு புதிய கட்டத்தைக் குறிக்கிறது, இந்த முறை அதன் மையத்தில் நிறுவன உற்பத்தித்திறன் மென்பொருளை குறிவைக்கிறது.
பொருளடக்கம்
உற்பத்தித்திறன் கருவியிலிருந்து ஃபிஷிங் வெக்டருக்கு
AgreeTo எனப்படும் சமரசம் செய்யப்பட்ட ஆட்-இன், பயனர்கள் பல காலெண்டர்களை ஒருங்கிணைத்து மின்னஞ்சல் மூலம் கிடைக்கும் தன்மையைப் பகிர்ந்து கொள்ள உதவும் வகையில் முதலில் உருவாக்கப்பட்டது. இது கடைசியாக டிசம்பர் 2022 இல் புதுப்பிக்கப்பட்டது.
பாரம்பரிய தீம்பொருள் விநியோக பிரச்சாரங்களைப் போலல்லாமல், இந்தத் தாக்குதல் குறியீட்டுத் தளத்தில் உள்ள பாதிப்பைப் பயன்படுத்துவதை உள்ளடக்கியிருக்கவில்லை. அதற்கு பதிலாக, அலுவலக துணை நிரல்கள் செயல்படும் விதத்தில் உள்ள கட்டமைப்பு பலவீனத்தைப் பயன்படுத்திக் கொண்டது. ஆராய்ச்சியாளர்கள் இதை முன்னர் கவனிக்கப்பட்ட தாக்குதல்களின் மாறுபாடாக வகைப்படுத்துகின்றனர், அவை உலாவி நீட்டிப்புகள், npm தொகுப்புகள் மற்றும் IDE செருகுநிரல்கள், அங்கீகரிக்கப்பட்ட உள்ளடக்கம் பின்னர் ஆய்வு செய்யாமல் மாறக்கூடிய நம்பகமான விநியோக சேனல்களைப் பாதிக்கின்றன.
அலுவலக ஆட்-இன்கள் பல கூட்டு காரணிகளால் அதிகரித்த ஆபத்தை அறிமுகப்படுத்துகின்றன:
- அவை அவுட்லுக்கிற்குள் நேரடியாகச் செயல்படுகின்றன, அங்கு மிகவும் உணர்திறன் வாய்ந்த தகவல்தொடர்புகள் கையாளப்படுகின்றன.
- மின்னஞ்சல்களைப் படித்து மாற்றும் திறன் உள்ளிட்ட சக்திவாய்ந்த அனுமதிகளை அவர்கள் கோரலாம்.
- அவை மைக்ரோசாப்டின் அதிகாரப்பூர்வ ஸ்டோர் மூலம் விநியோகிக்கப்படுகின்றன, மறைமுகமான பயனர் நம்பிக்கையைப் பெறுகின்றன.
அக்ரீட்டோ வழக்கு ஒரு முக்கியமான யதார்த்தத்தை அடிக்கோடிட்டுக் காட்டுகிறது: அசல் டெவலப்பர் தீங்கிழைக்கும் வகையில் எதையும் செய்யவில்லை. ஒரு சட்டபூர்வமான தயாரிப்பு உருவாக்கப்பட்டு பின்னர் கைவிடப்பட்டது. இந்தத் தாக்குதல் திட்டம் கைவிடப்படுவதற்கும் சந்தை மேற்பார்வைக்கும் இடையிலான இடைவெளியைப் பயன்படுத்திக் கொண்டது.
அலுவலக கூடுதல் கட்டமைப்பைப் பயன்படுத்துதல்
இந்த சம்பவத்தின் மையத்தில் அலுவலக துணை நிரல்களின் வடிவமைப்பு உள்ளது. டெவலப்பர்கள் தங்கள் துணை நிரல்களை மைக்ரோசாப்டின் கூட்டாளர் மையம் மூலம் சமர்ப்பிக்கிறார்கள், அங்கு தீர்வு மதிப்பாய்வு மற்றும் ஒப்புதலுக்கு உட்படுகிறது. இருப்பினும், ஒப்புதல் பெரும்பாலும் ஒரு மேனிஃபெஸ்ட் கோப்போடு பிணைக்கப்பட்டுள்ளது, நிலையான குறியீடு தொகுப்பு அல்ல.
அலுவலக துணை நிரல்கள் வழக்கமான மென்பொருளிலிருந்து அடிப்படையில் வேறுபடுகின்றன. தொகுக்கப்பட்ட குறியீட்டை அனுப்புவதற்குப் பதிலாக, மேனிஃபெஸ்ட் கோப்பு ஒரு URL ஐக் குறிப்பிடுகிறது. ஒவ்வொரு முறையும் அவுட்லுக்கிற்குள் துணை நிரல் திறக்கப்படும்போது, பயன்பாடு அந்த URL இலிருந்து நேரடி உள்ளடக்கத்தை மீட்டெடுத்து அதை ஒரு iframe க்குள் ரெண்டர் செய்கிறது.
இந்தக் கட்டடக்கலை மாதிரி ஒரு முக்கியமான வெளிப்பாட்டை அறிமுகப்படுத்துகிறது: அங்கீகரிக்கப்பட்டு கையொப்பமிட்டவுடன், குறிப்பிடப்பட்ட URL உண்மையான நேரத்தில் வழங்கும் எந்த உள்ளடக்கத்தையும் செருகு நிரல் தொடர்ந்து ஏற்றும். டொமைன் காலாவதி அல்லது உள்கட்டமைப்பு கைவிடல் காரணமாக அந்த URL இன் கட்டுப்பாடு மாறினால், கையொப்பமிடப்பட்ட மேனிஃபெஸ்ட்டை மாற்றாமல் தீங்கிழைக்கும் உள்ளடக்கத்தை அறிமுகப்படுத்தலாம்.
AgreeTo வழக்கில், மேனிஃபெஸ்ட் Vercel-ஹோஸ்ட் செய்த URL (outlook-one.vercel[.]app) ஐக் குறிப்பிட்டது. டெவலப்பரின் பயன்பாடு நீக்கப்பட்டு, 2023 ஆம் ஆண்டில் திட்டம் abandonware ஆக மாறிய பிறகு, அந்த URL உரிமை கோரக்கூடியதாக மாறியது. மைக்ரோசாப்டின் ஸ்டோரில் செருகு நிரல் பட்டியலிடப்பட்டிருந்தபோது, ஒரு தாக்குபவர் அதன் கட்டுப்பாட்டைக் கைப்பற்றினார்.
அறிக்கையின்படி, உள்கட்டமைப்பு செயல்பாட்டில் உள்ளது.
ஃபிஷிங் செயல்படுத்தல் மற்றும் நற்சான்றிதழ் வெளியேற்றம்
கைவிடப்பட்ட பயன்பாட்டை உரிமைகோரிய பிறகு, தாக்குபவர் குறிப்பிடப்பட்ட URL இல் ஒரு ஃபிஷிங் கருவியை ஹோஸ்ட் செய்தார். தீங்கிழைக்கும் உள்ளடக்கம் பயனர் நற்சான்றிதழ்களைப் பிடிக்க வடிவமைக்கப்பட்ட ஒரு போலி மைக்ரோசாஃப்ட் உள்நுழைவு பக்கத்தைக் காட்டியது.
கைப்பற்றப்பட்ட கடவுச்சொற்கள் Telegram Bot API ஐப் பயன்படுத்தி வெளியேற்றப்பட்டன. பாதிக்கப்பட்டவர்கள் பின்னர் முறையான Microsoft உள்நுழைவு பக்கத்திற்கு திருப்பி விடப்பட்டனர், இது சந்தேகத்தைக் குறைத்து வெற்றிகரமான நற்சான்றிதழ் திருட்டுக்கான வாய்ப்பை அதிகரித்தது.
கவனிக்கப்பட்ட செயல்பாடு நற்சான்றிதழ் சேகரிப்பில் கவனம் செலுத்தியிருந்தாலும், தாக்கம் கணிசமாகக் கடுமையாக இருந்திருக்கலாம் என்று ஆராய்ச்சியாளர்கள் எச்சரிக்கின்றனர். இந்த ஆட்-இன் ReadWriteItem அனுமதிகளுடன் கட்டமைக்கப்பட்டது, இது பயனர் மின்னஞ்சல்களைப் படித்து மாற்றியமைக்கும் திறனை செயல்படுத்துகிறது. மிகவும் ஆக்ரோஷமான அச்சுறுத்தல் நடிகர் அஞ்சல் பெட்டி உள்ளடக்கங்களை அமைதியாக வெளியேற்றும் திறன் கொண்ட ஜாவாஸ்கிரிப்டைப் பயன்படுத்தியிருக்கலாம், இது நிறுவன சூழல்களுக்குள் ஒரு சக்திவாய்ந்த உளவு வெக்டரை உருவாக்க முடியும்.
பரந்த தாக்கங்களைக் கொண்ட சந்தை மேற்பார்வை இடைவெளி
ஆரம்ப சமர்ப்பிப்பு செயல்முறையின் போது மைக்ரோசாப்ட் ஆட்-இன் மேனிஃபெஸ்ட்களை மதிப்பாய்வு செய்கிறது, ஆனால் ஒப்புதலுக்குப் பிறகு குறிப்பிடப்பட்ட URL களால் வழங்கப்படும் நேரடி உள்ளடக்கத்தின் தொடர்ச்சியான சரிபார்ப்பு இல்லை. இது ஒரு கட்டமைப்பு நம்பிக்கை இடைவெளியை உருவாக்குகிறது: மேனிஃபெஸ்ட் ஒரு முறை கையொப்பமிடப்படுகிறது, ஆனால் அது குறிப்பிடும் தொலைநிலை உள்ளடக்கம் காலவரையின்றி மாறக்கூடும்.
AgreeTo ஆட்-இன் டிசம்பர் 2022 இல் கையொப்பமிடப்பட்டது. ஒப்புதல் அளிக்கப்பட்ட நேரத்தில் அசல் உள்ளடக்கம் சட்டப்பூர்வமாக இருந்தபோதிலும், அதே URL இப்போது ஒரு ஃபிஷிங் கிட்டை வழங்குகிறது, மேலும் ஆட்-இன் கடையில் கிடைக்கிறது.
இந்தப் பிரச்சினை மைக்ரோசாப்டின் சுற்றுச்சூழல் அமைப்பைத் தாண்டி நீண்டுள்ளது. தொலைதூர டைனமிக் சார்புகளை தொடர்ந்து கண்காணிக்காமல் ஒரு முறை சமர்ப்பிப்பை அங்கீகரிக்கும் எந்தவொரு சந்தையும் இதே போன்ற அபாயங்களுக்கு ஆளாகிறது. கட்டமைப்பு பலவீனம் அனைத்து தளங்களிலும் நிலையானது: ஒரு முறை ஒப்புதல், காலவரையின்றி நம்பிக்கை.
சந்தை அபாயத்தைக் குறைப்பதற்கான மூலோபாயத் தணிப்புகள்
AgreeToSteal ஆல் வெளிப்படுத்தப்பட்ட அமைப்பு ரீதியான பலவீனங்களை நிவர்த்தி செய்ய, பாதுகாப்பு நிபுணர்கள் பல எதிர் நடவடிக்கைகளை பரிந்துரைக்கின்றனர்:
- ஒரு செருகு நிரலின் குறிப்பிடப்பட்ட URL, முதலில் மதிப்பாய்வு செய்யப்பட்டதிலிருந்து கணிசமாக வேறுபட்ட உள்ளடக்கத்தை வழங்கத் தொடங்கும்போது தானியங்கி மறு மதிப்பாய்வுகளைத் தூண்டும்.
- உள்கட்டமைப்பு டெவலப்பரின் கட்டுப்பாட்டில் இருப்பதை உறுதிப்படுத்த டொமைன் உரிமை சரிபார்ப்பைச் செயல்படுத்தவும், ஹோஸ்டிங் உரிமை மாறும் இடங்களில் துணை நிரல்களைக் கொடியிடவும்.
- வரையறுக்கப்பட்ட காலக்கெடுவிற்குள் புதுப்பிக்கப்படாத துணை நிரல்களைப் பற்றி பயனர்களைப் பட்டியலிலிருந்து நீக்க அல்லது எச்சரிப்பதற்கான வழிமுறைகளை நிறுவுதல்.
- வெளிப்பாடு மற்றும் சாத்தியமான தாக்கத்தை மதிப்பிடுவதற்கு நிறுவல் எண்ணிக்கையைக் காண்பி.
நவீன நீட்டிப்பு சுற்றுச்சூழல் அமைப்புகளில் விநியோகச் சங்கிலி அபாயங்களைக் குறைப்பதற்கு, நிலையான மேனிஃபெஸ்ட் ஒப்புதலை மட்டுமே நம்புவதற்குப் பதிலாக, நேரடி உள்ளடக்கத்தைத் தொடர்ந்து கண்காணிப்பது அவசியம்.
டைனமிக் டிபென்டன்சி டிரஸ்ட் மாதிரிகளுக்கான விழிப்புணர்வு அழைப்பு
AgreeToSteal பிரச்சாரம் சமகால மென்பொருள் விநியோக மாதிரிகளில் ஒரு அடிப்படை சவாலை விளக்குகிறது. அலுவலக துணை நிரல்கள், உலாவி நீட்டிப்புகள் மற்றும் இதே போன்ற சந்தை-ஹோஸ்ட் செய்யப்பட்ட கருவிகள் பெரும்பாலும் தொலைதூர, மாறும் வகையில் வழங்கப்படும் உள்ளடக்கத்தை நம்பியுள்ளன.
அவ்வப்போது மறு ஸ்கேன் செய்தல் மற்றும் நடத்தை கண்காணிப்பு இல்லாமல், நம்பகமான பயன்பாடுகள் அமைதியாக தாக்குதல் திசையன்களாக உருவாகலாம்.
இந்த வழக்கு தள ஆபரேட்டர்கள் மற்றும் நிறுவன பாதுகாவலர்களுக்கு ஒரு எச்சரிக்கையாக செயல்படுகிறது: நம்பிக்கை தொடர்ந்து சரிபார்க்கப்பட வேண்டும், குறிப்பாக தொலைதூர உள்கட்டமைப்பு மற்றும் மாறும் சார்புநிலைகள் சம்பந்தப்பட்டிருக்கும் போது.
