హానికరమైన ఔట్‌లుక్ యాడ్-ఇన్‌కు అంగీకరిస్తున్నాను

సైబర్ సెక్యూరిటీ పరిశోధకులు వైల్డ్ లైఫ్‌లో గుర్తించబడిన మొట్టమొదటి హానికరమైన మైక్రోసాఫ్ట్ అవుట్‌లుక్ యాడ్-ఇన్‌ను కనుగొన్నారు. AgreeToSteal అనే కోడ్‌నేమ్ ఉన్న ఈ ప్రచారం, మైక్రోసాఫ్ట్ ఆఫీస్ యాడ్-ఇన్ పర్యావరణ వ్యవస్థపై నమ్మకాన్ని దుర్వినియోగం చేసే ఒక నవల మరియు ఇబ్బందికరమైన సరఫరా గొలుసు దాడిని సూచిస్తుంది.

ఈ సంఘటనలో, బెదిరింపుదారుడు వదిలివేయబడిన కానీ చట్టబద్ధమైన Outlook యాడ్-ఇన్‌తో అనుబంధించబడిన డొమైన్‌ను హైజాక్ చేశాడు. గడువు ముగిసిన మౌలిక సదుపాయాలను తిరిగి ఉపయోగించడం ద్వారా, దాడి చేసేవాడు నకిలీ Microsoft లాగిన్ పేజీని అమలు చేశాడు మరియు 4,000 కంటే ఎక్కువ వినియోగదారు ఆధారాలను విజయవంతంగా సేకరించాడు.

ఈ ఆవిష్కరణ మార్కెట్ ఆధారిత సరఫరా గొలుసు ముప్పులలో ఒక కొత్త దశను సూచిస్తుంది, ఈసారి దాని ప్రధాన భాగంలో ఎంటర్‌ప్రైజ్ ఉత్పాదకత సాఫ్ట్‌వేర్‌ను లక్ష్యంగా చేసుకుంది.

ఉత్పాదకత సాధనం నుండి ఫిషింగ్ వెక్టర్ వరకు

AgreeTo అని పిలువబడే రాజీపడిన యాడ్-ఇన్, వినియోగదారులు బహుళ క్యాలెండర్‌లను ఏకీకృతం చేయడంలో మరియు ఇమెయిల్ ద్వారా లభ్యతను పంచుకోవడంలో సహాయపడటానికి మొదట అభివృద్ధి చేయబడింది. ఇది చివరిగా డిసెంబర్ 2022లో నవీకరించబడింది.

సాంప్రదాయ మాల్వేర్ పంపిణీ ప్రచారాల మాదిరిగా కాకుండా, ఈ దాడిలో కోడ్‌బేస్‌లోని దుర్బలత్వాన్ని ఉపయోగించుకోవడం లేదు. బదులుగా, ఇది ఆఫీస్ యాడ్-ఇన్‌లు పనిచేసే విధానంలో నిర్మాణాత్మక బలహీనతను ఉపయోగించుకుంది. పరిశోధకులు దీనిని బ్రౌజర్ ఎక్స్‌టెన్షన్‌లు, npm ప్యాకేజీలు మరియు IDE ప్లగిన్‌లు, ఆమోదించబడిన కంటెంట్ తరువాత పరిశీలనను ప్రారంభించకుండా మారగల విశ్వసనీయ పంపిణీ ఛానెల్‌లను ప్రభావితం చేసే గతంలో గమనించిన దాడుల వైవిధ్యంగా వర్గీకరించారు.

అనేక సంక్లిష్ట కారకాల కారణంగా ఆఫీస్ యాడ్-ఇన్‌లు అధిక ప్రమాదాన్ని పరిచయం చేస్తాయి:

• అవి అత్యంత సున్నితమైన కమ్యూనికేషన్‌లు నిర్వహించబడే ఔట్‌లుక్‌లోనే నేరుగా అమలు చేస్తాయి.
• వారు ఇమెయిల్‌లను చదవగల మరియు సవరించగల సామర్థ్యంతో సహా శక్తివంతమైన అనుమతులను అభ్యర్థించవచ్చు.
• అవి మైక్రోసాఫ్ట్ అధికారిక స్టోర్ ద్వారా పంపిణీ చేయబడతాయి, అవ్యక్త వినియోగదారు నమ్మకాన్ని వారసత్వంగా పొందుతాయి.

అగ్రీటూ కేసు ఒక క్లిష్టమైన వాస్తవికతను నొక్కి చెబుతుంది: అసలు డెవలపర్ దురుద్దేశంతో ఏమీ చేయలేదు. ఒక చట్టబద్ధమైన ఉత్పత్తిని సృష్టించి, తరువాత వదిలివేయబడింది. ఈ దాడి ప్రాజెక్ట్ పరిత్యాగం మరియు మార్కెట్ పర్యవేక్షణ మధ్య అంతరాన్ని ఉపయోగించుకుంది.

ఆఫీస్ యాడ్-ఇన్ ఆర్కిటెక్చర్‌ను ఉపయోగించడం

ఈ సంఘటనకు మూలం ఆఫీస్ యాడ్-ఇన్‌ల రూపకల్పన. డెవలపర్లు తమ యాడ్-ఇన్‌లను మైక్రోసాఫ్ట్ పార్టనర్ సెంటర్ ద్వారా సమర్పిస్తారు, అక్కడ పరిష్కారం సమీక్ష మరియు ఆమోదం పొందుతుంది. అయితే, ఆమోదం ఎక్కువగా స్టాటిక్ కోడ్ ప్యాకేజీకి కాదు, మానిఫెస్ట్ ఫైల్‌కు ముడిపడి ఉంటుంది.

ఆఫీస్ యాడ్-ఇన్‌లు ప్రాథమికంగా సాంప్రదాయ సాఫ్ట్‌వేర్ నుండి భిన్నంగా ఉంటాయి. బండిల్డ్ కోడ్‌ను షిప్పింగ్ చేయడానికి బదులుగా, మానిఫెస్ట్ ఫైల్ ఒక URLని నిర్దేశిస్తుంది. ఔట్‌లుక్ లోపల యాడ్-ఇన్ తెరిచిన ప్రతిసారీ, అప్లికేషన్ ఆ URL నుండి ప్రత్యక్ష కంటెంట్‌ను తిరిగి పొందుతుంది మరియు దానిని iframeలో రెండర్ చేస్తుంది.

ఈ నిర్మాణ నమూనా ఒక క్లిష్టమైన ఎక్స్‌పోజర్‌ను పరిచయం చేస్తుంది: ఆమోదించబడి సంతకం చేసిన తర్వాత, యాడ్-ఇన్ సూచించబడిన URL నిజ సమయంలో అందించే ఏ కంటెంట్‌ను అయినా లోడ్ చేస్తూనే ఉంటుంది. డొమైన్ గడువు లేదా మౌలిక సదుపాయాల పరిత్యాగం కారణంగా ఆ URL నియంత్రణ మారితే, సంతకం చేసిన మానిఫెస్ట్‌ను సవరించకుండానే హానికరమైన కంటెంట్‌ను ప్రవేశపెట్టవచ్చు.

AgreeTo కేసులో, మానిఫెస్ట్ వెర్సెల్-హోస్ట్ చేసిన URL (outlook-one.vercel[.]app) ను ప్రస్తావించింది. డెవలపర్ యొక్క విస్తరణ తొలగించబడిన తర్వాత మరియు ప్రాజెక్ట్ 2023 నాటికి అబాండన్‌వేర్‌గా మారిన తర్వాత, ఆ URL క్లెయిమ్ చేయదగినదిగా మారింది. యాడ్-ఇన్ మైక్రోసాఫ్ట్ స్టోర్‌లో జాబితా చేయబడినప్పుడు దాడి చేసే వ్యక్తి దాని నియంత్రణను స్వాధీనం చేసుకున్నాడు.

నివేదిక ప్రకారం, మౌలిక సదుపాయాలు చురుకుగా ఉన్నాయి.

ఫిషింగ్ అమలు మరియు ఆధారాల తొలగింపు

వదిలివేయబడిన విస్తరణను క్లెయిమ్ చేసిన తర్వాత, దాడి చేసిన వ్యక్తి ప్రస్తావించబడిన URL వద్ద ఫిషింగ్ కిట్‌ను హోస్ట్ చేశాడు. హానికరమైన కంటెంట్ వినియోగదారు ఆధారాలను సంగ్రహించడానికి రూపొందించిన నకిలీ Microsoft సైన్-ఇన్ పేజీని ప్రదర్శించింది.

సంగ్రహించిన పాస్‌వర్డ్‌లను టెలిగ్రామ్ బాట్ API ఉపయోగించి తొలగించారు. బాధితులను చట్టబద్ధమైన Microsoft లాగిన్ పేజీకి దారి మళ్లించారు, దీని వలన అనుమానం తగ్గింది మరియు విజయవంతమైన ఆధారాల దొంగతనం సంభావ్యత పెరిగింది.

గమనించిన కార్యాచరణ ఆధారాల సేకరణపై దృష్టి సారించినప్పటికీ, ప్రభావం గణనీయంగా మరింత తీవ్రంగా ఉండేదని పరిశోధకులు హెచ్చరిస్తున్నారు. యాడ్-ఇన్ ReadWriteItem అనుమతులతో కాన్ఫిగర్ చేయబడింది, ఇది వినియోగదారు ఇమెయిల్‌లను చదవడానికి మరియు సవరించడానికి వీలు కల్పిస్తుంది. మరింత దూకుడుగా ఉండే బెదిరింపు నటుడు మెయిల్‌బాక్స్ కంటెంట్‌లను నిశ్శబ్దంగా బయటకు పంపగల జావాస్క్రిప్ట్‌ను అమలు చేసి, ఎంటర్‌ప్రైజ్ పరిసరాలలో శక్తివంతమైన గూఢచర్య వెక్టర్‌ను సృష్టించగలడు.

విస్తృతమైన చిక్కులతో కూడిన మార్కెట్‌ప్లేస్ పర్యవేక్షణ అంతరం

ప్రారంభ సమర్పణ ప్రక్రియలో Microsoft యాడ్-ఇన్ మానిఫెస్ట్‌లను సమీక్షిస్తుంది, కానీ ఆమోదం తర్వాత సూచించబడిన URLల ద్వారా అందించబడిన ప్రత్యక్ష కంటెంట్ యొక్క నిరంతర ధృవీకరణ ఉండదు. ఇది నిర్మాణాత్మక విశ్వసనీయ అంతరాన్ని సృష్టిస్తుంది: మానిఫెస్ట్ ఒకసారి సంతకం చేయబడుతుంది, అయినప్పటికీ అది సూచించే రిమోట్ కంటెంట్ నిరవధికంగా మారవచ్చు.

AgreeTo యాడ్-ఇన్ డిసెంబర్ 2022లో సంతకం చేయబడింది. ఆమోదం సమయంలో అసలు కంటెంట్ చట్టబద్ధమైనది అయినప్పటికీ, అదే URL ఇప్పుడు ఫిషింగ్ కిట్‌ను అందిస్తుంది మరియు యాడ్-ఇన్ స్టోర్‌లో అందుబాటులో ఉంటుంది.

ఈ సమస్య మైక్రోసాఫ్ట్ పర్యావరణ వ్యవస్థను దాటి విస్తరించి ఉంది. రిమోట్ డైనమిక్ డిపెండెన్సీల నిరంతర పర్యవేక్షణ లేకుండా ఒకసారి సమర్పణను ఆమోదించే ఏదైనా మార్కెట్‌ప్లేస్ ఇలాంటి ప్రమాదాలకు గురవుతుంది. నిర్మాణాత్మక బలహీనత అన్ని ప్లాట్‌ఫామ్‌లలో స్థిరంగా ఉంటుంది: ఒకసారి ఆమోదించండి, నిరవధికంగా నమ్మండి.

మార్కెట్ రిస్క్ తగ్గించడానికి వ్యూహాత్మక తగ్గింపులు

AgreeToSteal ద్వారా బహిర్గతం చేయబడిన వ్యవస్థాగత బలహీనతలను పరిష్కరించడానికి, భద్రతా నిపుణులు అనేక ప్రతిఘటనలను సిఫార్సు చేస్తున్నారు:

• యాడ్-ఇన్ యొక్క సూచించబడిన URL, మొదట సమీక్షించబడిన దాని నుండి గణనీయంగా భిన్నమైన కంటెంట్‌ను అందించడం ప్రారంభించినప్పుడు ఆటోమేటిక్ పునఃసమీక్షలను ట్రిగ్గర్ చేయండి.
• మౌలిక సదుపాయాలు డెవలపర్ నియంత్రణలో ఉన్నాయని నిర్ధారించడానికి డొమైన్ యాజమాన్య ధ్రువీకరణను అమలు చేయండి మరియు హోస్టింగ్ యాజమాన్యం మారే యాడ్-ఇన్‌లను ఫ్లాగ్ చేయండి.
• నిర్వచించిన సమయ వ్యవధిలో నవీకరించబడని యాడ్-ఇన్‌ల గురించి వినియోగదారులను జాబితా నుండి తొలగించడానికి లేదా హెచ్చరించడానికి యంత్రాంగాలను ఏర్పాటు చేయండి.
• ఎక్స్‌పోజర్ మరియు సంభావ్య ప్రభావాన్ని అంచనా వేయడంలో సహాయపడటానికి ఇన్‌స్టాలేషన్ గణనలను ప్రదర్శించండి.

ఆధునిక విస్తరణ పర్యావరణ వ్యవస్థలలో సరఫరా గొలుసు ప్రమాదాలను తగ్గించడానికి, స్టాటిక్ మానిఫెస్ట్ ఆమోదంపై మాత్రమే ఆధారపడకుండా, ప్రత్యక్ష కంటెంట్‌ను నిరంతరం పర్యవేక్షించడం చాలా అవసరం.

డైనమిక్ డిపెండెన్సీ ట్రస్ట్ మోడల్స్ కోసం ఒక మేల్కొలుపు పిలుపు

AgreeToSteal ప్రచారం సమకాలీన సాఫ్ట్‌వేర్ పంపిణీ నమూనాలలో ఒక ప్రాథమిక సవాలును వివరిస్తుంది. ఆఫీస్ యాడ్-ఇన్‌లు, బ్రౌజర్ ఎక్స్‌టెన్షన్‌లు మరియు ఇలాంటి మార్కెట్‌ప్లేస్-హోస్ట్ చేయబడిన సాధనాలు తరచుగా రిమోట్, డైనమిక్‌గా అందించబడిన కంటెంట్‌పై ఆధారపడతాయి.

ఆవర్తన రీస్కానింగ్ మరియు ప్రవర్తనా పర్యవేక్షణ లేకుండా, విశ్వసనీయ అప్లికేషన్లు నిశ్శబ్దంగా దాడి వెక్టర్లుగా పరిణామం చెందుతాయి.

ఈ కేసు ప్లాట్‌ఫామ్ ఆపరేటర్లు మరియు ఎంటర్‌ప్రైజ్ రక్షకులకు ఒక హెచ్చరికగా పనిచేస్తుంది: నమ్మకాన్ని నిరంతరం ధృవీకరించాలి, ముఖ్యంగా రిమోట్ మౌలిక సదుపాయాలు మరియు డైనమిక్ డిపెండెన్సీలు పాల్గొన్నప్పుడు.