AgreeTo โปรแกรมเสริม Outlook ที่เป็นอันตราย
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบสิ่งที่เชื่อว่าเป็นส่วนเสริม Microsoft Outlook ที่เป็นอันตรายตัวแรกที่ตรวจพบในวงกว้าง แคมเปญนี้มีชื่อรหัสว่า AgreeToSteal ซึ่งแสดงถึงการโจมตีห่วงโซ่อุปทานรูปแบบใหม่และน่ากังวล ที่ใช้ประโยชน์จากความไว้วางใจในระบบนิเวศของส่วนเสริม Office ของ Microsoft
ในเหตุการณ์นี้ ผู้โจมตีได้เข้ายึดโดเมนที่เชื่อมโยงกับส่วนเสริม Outlook ที่ถูกทิ้งร้างแต่ยังคงใช้งานได้อยู่ โดยการนำโครงสร้างพื้นฐานที่หมดอายุแล้วมาใช้ใหม่ ผู้โจมตีได้สร้างหน้าเข้าสู่ระบบของ Microsoft ปลอมขึ้นมา และสามารถขโมยข้อมูลประจำตัวของผู้ใช้ได้มากกว่า 4,000 ราย
การค้นพบนี้บ่งชี้ถึงระยะใหม่ของภัยคุกคามในห่วงโซ่อุปทานที่อิงกับตลาด โดยครั้งนี้มุ่งเป้าไปที่ซอฟต์แวร์เพิ่มประสิทธิภาพการทำงานขององค์กรเป็นหลัก
สารบัญ
จากเครื่องมือเพิ่มประสิทธิภาพการทำงาน สู่ช่องทางหลอกลวงทางอีเมล
ส่วนเสริมที่ถูกบุกรุกซึ่งรู้จักกันในชื่อ AgreeTo นั้น เดิมทีพัฒนาขึ้นเพื่อช่วยผู้ใช้รวมปฏิทินหลายรายการและแชร์เวลาว่างผ่านอีเมล โดยมีการอัปเดตครั้งล่าสุดในเดือนธันวาคม 2022
แตกต่างจากแคมเปญการแพร่กระจายมัลแวร์แบบดั้งเดิม การโจมตีครั้งนี้ไม่ได้เกี่ยวข้องกับการใช้ประโยชน์จากช่องโหว่ในโค้ด แต่เป็นการใช้ประโยชน์จากจุดอ่อนเชิงโครงสร้างในการทำงานของส่วนเสริม Office นักวิจัยจัดประเภทการโจมตีนี้เป็นรูปแบบหนึ่งของการโจมตีที่เคยพบเห็นมาก่อนหน้านี้ ซึ่งส่งผลกระทบต่อส่วนขยายของเบราว์เซอร์ แพ็กเกจ npm และปลั๊กอิน IDE ซึ่งเป็นช่องทางการเผยแพร่ที่เชื่อถือได้ ซึ่งเนื้อหาที่ได้รับอนุมัติสามารถเปลี่ยนแปลงได้ในภายหลังโดยไม่ก่อให้เกิดการตรวจสอบ
โปรแกรมเสริมของ Office ก่อให้เกิดความเสี่ยงที่เพิ่มขึ้นเนื่องจากปัจจัยหลายประการ:
- ระบบเหล่านี้ทำงานโดยตรงภายใน Outlook ซึ่งเป็นโปรแกรมที่ใช้จัดการการสื่อสารที่มีความละเอียดอ่อนสูง
- พวกเขาอาจขอสิทธิ์การเข้าถึงระดับสูง รวมถึงความสามารถในการอ่านและแก้ไขอีเมล
- ผลิตภัณฑ์เหล่านี้จัดจำหน่ายผ่านทางร้านค้าอย่างเป็นทางการของ Microsoft ซึ่งสร้างความไว้วางใจโดยปริยายให้กับผู้ใช้
กรณีของ AgreeTo เน้นย้ำถึงความเป็นจริงที่สำคัญประการหนึ่ง คือ ผู้พัฒนาเดิมไม่ได้ทำอะไรที่เป็นอันตราย ผลิตภัณฑ์ที่ถูกต้องตามกฎหมายถูกสร้างขึ้นและต่อมาถูกทิ้งร้าง การโจมตีใช้ประโยชน์จากช่องว่างระหว่างการทิ้งร้างโครงการและการกำกับดูแลของตลาด
การใช้ประโยชน์จากสถาปัตยกรรมส่วนเสริมของ Office
ประเด็นสำคัญของเหตุการณ์นี้อยู่ที่การออกแบบส่วนเสริมของ Office นักพัฒนาส่งส่วนเสริมของตนผ่านศูนย์พันธมิตรของ Microsoft ซึ่งโซลูชันจะได้รับการตรวจสอบและอนุมัติ อย่างไรก็ตาม การอนุมัติส่วนใหญ่ผูกติดอยู่กับไฟล์รายการ (manifest file) ไม่ใช่แพ็กเกจโค้ดแบบคงที่
ส่วนเสริมของ Office แตกต่างจากซอฟต์แวร์ทั่วไปอย่างสิ้นเชิง แทนที่จะส่งโค้ดแบบรวมชุด ส่วนเสริมจะระบุ URL ในไฟล์ manifest ทุกครั้งที่เปิดส่วนเสริมภายใน Outlook แอปพลิเคชันจะดึงเนื้อหาแบบเรียลไทม์จาก URL นั้นและแสดงผลภายใน iframe
รูปแบบสถาปัตยกรรมนี้ก่อให้เกิดช่องโหว่ที่สำคัญ: เมื่อได้รับการอนุมัติและลงนามแล้ว ส่วนเสริมจะยังคงโหลดเนื้อหาใดๆ ก็ตามที่ URL ที่อ้างอิงนั้นให้บริการแบบเรียลไทม์ หากการควบคุม URL นั้นเปลี่ยนแปลงไป ไม่ว่าจะเป็นเพราะโดเมนหมดอายุหรือโครงสร้างพื้นฐานถูกทิ้งร้าง เนื้อหาที่เป็นอันตรายสามารถถูกแทรกเข้ามาได้โดยไม่ต้องแก้ไขไฟล์ manifest ที่ลงนามไว้
ในกรณีของ AgreeTo ไฟล์ manifest อ้างอิงถึง URL ที่โฮสต์โดย Vercel (outlook-one.vercel[.]app) หลังจากที่ผู้พัฒนาลบการใช้งานและโครงการกลายเป็นซอฟต์แวร์ที่ถูกทิ้งร้างไปโดยปริยายประมาณปี 2023 URL ดังกล่าวจึงกลายเป็นสิ่งที่ผู้โจมตีสามารถเข้ายึดครองได้ ในขณะที่ส่วนเสริมยังคงอยู่ในรายการของ Microsoft Store
ณ เวลาที่รายงาน โครงสร้างพื้นฐานยังคงใช้งานได้อยู่
การโจมตีแบบฟิชชิ่งและการขโมยข้อมูลประจำตัว
หลังจากอ้างว่าระบบถูกทิ้งร้างแล้ว ผู้โจมตีได้ติดตั้งชุดเครื่องมือฟิชชิ่งไว้ที่ URL ที่อ้างถึง เนื้อหาที่เป็นอันตรายแสดงหน้าเข้าสู่ระบบปลอมของ Microsoft ซึ่งออกแบบมาเพื่อดักจับข้อมูลประจำตัวของผู้ใช้
รหัสผ่านที่ถูกดักจับจะถูกส่งออกไปโดยใช้ API ของบอท Telegram จากนั้นเหยื่อจะถูกเปลี่ยนเส้นทางไปยังหน้าเข้าสู่ระบบของ Microsoft ที่ถูกต้อง ซึ่งจะลดความสงสัยและเพิ่มโอกาสในการขโมยข้อมูลประจำตัวได้สำเร็จ
แม้ว่ากิจกรรมที่ตรวจพบจะมุ่งเน้นไปที่การขโมยข้อมูลประจำตัว แต่ผู้วิจัยเตือนว่าผลกระทบอาจรุนแรงกว่านี้มาก ส่วนเสริมดังกล่าวถูกตั้งค่าด้วยสิทธิ์ ReadWriteItem ซึ่งทำให้สามารถอ่านและแก้ไขอีเมลของผู้ใช้ได้ ผู้โจมตีที่รุนแรงกว่าอาจใช้ JavaScript ที่สามารถขโมยเนื้อหาในกล่องจดหมายได้อย่างเงียบๆ ซึ่งจะสร้างช่องทางการจารกรรมที่มีประสิทธิภาพภายในสภาพแวดล้อมขององค์กร
ช่องว่างในการกำกับดูแลตลาดที่มีผลกระทบในวงกว้าง
ไมโครซอฟต์ตรวจสอบไฟล์ Manifest ของ Add-in ในระหว่างกระบวนการส่งครั้งแรก แต่ไม่มีการตรวจสอบความถูกต้องอย่างต่อเนื่องของเนื้อหาที่ใช้งานจริงซึ่งให้บริการโดย URL ที่อ้างอิงหลังจากได้รับการอนุมัติแล้ว สิ่งนี้สร้างช่องโหว่ด้านความน่าเชื่อถือเชิงโครงสร้าง: ไฟล์ Manifest จะถูกลงนามเพียงครั้งเดียว แต่เนื้อหาจากระยะไกลที่อ้างอิงนั้นสามารถเปลี่ยนแปลงได้เรื่อยๆ
ส่วนเสริม AgreeTo ได้รับการลงนามในเดือนธันวาคม 2022 แม้ว่าเนื้อหาดั้งเดิมจะถูกต้องตามกฎหมายในขณะที่ได้รับการอนุมัติ แต่ปัจจุบัน URL เดียวกันนี้กลับเป็นแหล่งข้อมูลสำหรับการหลอกลวง และส่วนเสริมนี้ยังคงมีให้ดาวน์โหลดในร้านค้าอยู่
ปัญหานี้ไม่ได้จำกัดอยู่แค่ในระบบนิเวศของ Microsoft เท่านั้น ตลาดซื้อขายใดๆ ที่อนุมัติการส่งข้อมูลเพียงครั้งเดียวโดยไม่ตรวจสอบความสัมพันธ์แบบไดนามิกจากระยะไกลอย่างต่อเนื่อง ก็มีความเสี่ยงในลักษณะเดียวกัน จุดอ่อนเชิงโครงสร้างนี้พบได้ในทุกแพลตฟอร์ม: อนุมัติครั้งเดียว เชื่อถือได้ตลอดไป
มาตรการเชิงกลยุทธ์เพื่อลดความเสี่ยงในตลาด
เพื่อแก้ไขจุดอ่อนเชิงระบบที่เปิดเผยโดย AgreeToSteal ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำมาตรการรับมือหลายประการ:
- ตั้งค่าให้มีการตรวจสอบซ้ำโดยอัตโนมัติเมื่อ URL ที่อ้างอิงของส่วนเสริมเริ่มแสดงเนื้อหาที่แตกต่างอย่างมีนัยสำคัญจากสิ่งที่ได้รับการตรวจสอบในครั้งแรก
- ดำเนินการตรวจสอบความเป็นเจ้าของโดเมนเพื่อยืนยันว่าโครงสร้างพื้นฐานยังคงอยู่ภายใต้การควบคุมของผู้พัฒนา และแจ้งเตือนเมื่อมีการเปลี่ยนแปลงความเป็นเจ้าของโฮสติ้งในส่วนเสริมต่างๆ
- กำหนดกลไกในการลบหรือแจ้งเตือนผู้ใช้เกี่ยวกับส่วนเสริมที่ไม่ได้อัปเดตภายในกรอบเวลาที่กำหนด
- แสดงจำนวนการติดตั้งเพื่อช่วยประเมินความเสี่ยงและผลกระทบที่อาจเกิดขึ้น
การตรวจสอบเนื้อหาแบบเรียลไทม์อย่างต่อเนื่อง แทนที่จะพึ่งพาการอนุมัติรายการแบบคงที่เพียงอย่างเดียว ถือเป็นสิ่งสำคัญในการลดความเสี่ยงในห่วงโซ่อุปทานในระบบนิเวศการขยายผลสมัยใหม่
สัญญาณเตือนภัยสำหรับโมเดลความไว้วางใจแบบไดนามิก
แคมเปญ AgreeToSteal แสดงให้เห็นถึงความท้าทายพื้นฐานในรูปแบบการจัดจำหน่ายซอฟต์แวร์ในปัจจุบัน โปรแกรมเสริมของ Office ส่วนขยายของเบราว์เซอร์ และเครื่องมืออื่นๆ ที่เผยแพร่ผ่านแพลตฟอร์มต่างๆ มักอาศัยเนื้อหาที่ให้บริการจากระยะไกลและเปลี่ยนแปลงได้ตลอดเวลา
หากไม่มีการสแกนซ้ำเป็นระยะและการตรวจสอบพฤติกรรม แอปพลิเคชันที่เชื่อถือได้อาจกลายมาเป็นช่องทางโจมตีโดยไม่รู้ตัว
กรณีนี้เป็นเครื่องเตือนใจสำหรับผู้ให้บริการแพลตฟอร์มและผู้ปกป้องระบบรักษาความปลอดภัยขององค์กร: ความน่าเชื่อถือต้องได้รับการตรวจสอบอย่างต่อเนื่อง โดยเฉพาะอย่างยิ่งเมื่อเกี่ยวข้องกับโครงสร้างพื้นฐานระยะไกลและการพึ่งพาแบบไดนามิก
