Sumang-ayon sa Malicious Outlook Add-In

Natuklasan ng mga mananaliksik sa cybersecurity ang pinaniniwalaang unang kilalang malisyosong Microsoft Outlook add-in na natukoy sa kalikasan. Ang kampanya, na may codename na AgreeToSteal, ay kumakatawan sa isang bago at nakakabahalang pag-atake sa supply chain na umaabuso sa tiwala sa ecosystem ng Microsoft Office add-in.

Sa insidenteng ito, isang threat actor ang nag-hijack sa domain na nauugnay sa isang inabandona ngunit lehitimong Outlook add-in. Sa pamamagitan ng muling paggamit ng nag-expire nang imprastraktura, nag-deploy ang attacker ng isang pekeng Microsoft login page at matagumpay na nakakuha ng mahigit 4,000 user credentials.

Ang pagtuklas na ito ay hudyat ng isang bagong yugto sa mga banta sa supply chain na nakabatay sa pamilihan, kung saan sa pagkakataong ito ay tinatarget ang enterprise productivity software bilang sentro nito.

Mula sa Productivity Tool hanggang sa Phishing Vector

Ang nakompromisong add-in, na kilala bilang AgreeTo, ay orihinal na binuo upang tulungan ang mga user na pagsamahin ang maraming kalendaryo at ibahagi ang availability sa pamamagitan ng email. Huli itong na-update noong Disyembre 2022.

Hindi tulad ng mga tradisyonal na kampanya sa pamamahagi ng malware, ang pag-atakeng ito ay hindi kinasasangkutan ng pagsasamantala sa isang kahinaan sa codebase. Sa halip, sinamantala nito ang isang kahinaan sa istruktura kung paano gumagana ang mga add-in ng Office. Inuri ito ng mga mananaliksik bilang isang baryasyon ng mga naunang naobserbahang pag-atake na nakakaapekto sa mga extension ng browser, mga pakete ng npm, at mga plugin ng IDE, mga pinagkakatiwalaang channel ng pamamahagi kung saan ang aprubadong nilalaman ay maaaring magbago sa kalaunan nang hindi nag-uudyok ng masusing pagsusuri.

Ang mga add-in sa opisina ay nagdudulot ng mas mataas na panganib dahil sa ilang mga salik na nagpapalala:

• Direktang isinasagawa ang mga ito sa loob ng Outlook, kung saan pinangangasiwaan ang mga sensitibong komunikasyon.
• Maaari silang humiling ng mga makapangyarihang pahintulot, kabilang ang kakayahang magbasa at magbago ng mga email.
• Ipinamamahagi ang mga ito sa pamamagitan ng opisyal na tindahan ng Microsoft, na nagmamana ng pahiwatig ng tiwala ng gumagamit.

Binibigyang-diin ng kaso ng AgreeTo ang isang kritikal na katotohanan: walang ginawang malisya ang orihinal na developer. Isang lehitimong produkto ang nilikha at kalaunan ay inabandona. Sinamantala ng pag-atake ang agwat sa pagitan ng pag-abandona sa proyekto at pangangasiwa sa pamilihan.

Paggamit ng Arkitektura ng Add-In ng Opisina

Ang puso ng insidente ay nakasalalay sa disenyo ng mga add-in ng Office. Isinusumite ng mga developer ang kanilang mga add-in sa pamamagitan ng Partner Center ng Microsoft, kung saan ang solusyon ay sumasailalim sa pagsusuri at pag-apruba. Gayunpaman, ang pag-apruba ay higit na nakatali sa isang manifest file, hindi sa isang static code package.

Ang mga add-in ng Office ay lubhang naiiba sa karaniwang software. Sa halip na magpapadala ng naka-bundle na code, ang manifest file ay tumutukoy ng isang URL. Sa bawat oras na buksan ang add-in sa loob ng Outlook, kinukuha ng application ang live na nilalaman mula sa URL na iyon at nire-render ito sa loob ng isang iframe.

Ang modelong arkitektura na ito ay nagpapakilala ng isang kritikal na pagkakalantad: kapag naaprubahan at napirmahan na, ang add-in ay patuloy na maglo-load ng anumang nilalaman na inihahatid ng tinukoy na URL sa real time. Kung magbabago ang kontrol ng URL na iyon, dahil sa pag-expire ng domain o pag-abandona sa imprastraktura, maaaring maipakilala ang malisyosong nilalaman nang hindi binabago ang nilagdaang manifest.

Sa kaso ng AgreeTo, ang manifest ay tumutukoy sa isang Vercel-hosted URL (outlook-one.vercel[.]app). Matapos mabura ang deployment ng developer at epektibong naging abandonware ang proyekto noong bandang 2023, naging claimable ang URL. Nakuha ito ng isang attacker habang ang add-in ay nanatiling nakalista sa store ng Microsoft.

Sa ulat, nananatiling aktibo ang imprastraktura.

Pagpapatupad ng Phishing at Pag-exfiltration ng Kredensyal

Matapos angkinin ang inabandunang deployment, nag-host ang attacker ng phishing kit sa tinukoy na URL. Nagpakita ang malisyosong nilalaman ng pekeng pahina ng pag-sign-in ng Microsoft na idinisenyo upang makuha ang mga kredensyal ng user.

Ang mga nakuhang password ay inalis sa pagkakaintindi gamit ang Telegram Bot API. Pagkatapos ay ire-redirect ang mga biktima sa lehitimong pahina ng pag-login sa Microsoft, na nagbawas sa hinala at nagpapataas ng posibilidad ng matagumpay na pagnanakaw ng kredensyal.

Bagama't nakatuon ang naobserbahang aktibidad sa pagkuha ng kredensyal, nagbabala ang mga mananaliksik na maaaring mas malala pa ang epekto. Ang add-in ay na-configure gamit ang mga pahintulot na ReadWriteItem, na nagbibigay-daan sa kakayahang magbasa at magbago ng mga email ng user. Maaaring nag-deploy ng JavaScript ang isang mas agresibong threat actor na may kakayahang tahimik na mag-exfiltrate ng mga nilalaman ng mailbox, na lumilikha ng isang malakas na vector ng espionage sa loob ng mga enterprise environment.

Isang Agwat sa Pangangasiwa ng Marketplace na may Mas Malawak na Implikasyon

Sinusuri ng Microsoft ang mga add-in manifest sa unang proseso ng pagsusumite, ngunit walang patuloy na pagpapatunay ng live na nilalaman na inihahatid ng mga tinukoy na URL pagkatapos ng pag-apruba. Lumilikha ito ng isang istrukturang agwat sa tiwala: ang manifest ay nilagdaan nang isang beses, ngunit ang remote na nilalaman na tinutukoy nito ay maaaring magbago nang walang katiyakan.

Ang AgreeTo add-in ay nilagdaan noong Disyembre 2022. Bagama't lehitimo ang orihinal na nilalaman noong panahon ng pag-apruba, ang parehong URL ngayon ay naghahain ng phishing kit, at ang add-in ay nananatiling available sa store.

Ang isyung ito ay lumalampas sa ecosystem ng Microsoft. Anumang marketplace na nag-aapruba ng isang pagsusumite nang isang beses nang walang patuloy na pagsubaybay sa mga remote dynamic dependencies ay nalalantad sa mga katulad na panganib. Ang kahinaan sa istruktura ay pare-pareho sa iba't ibang platform: aprubahan nang isang beses, magtiwala nang walang katiyakan.

Mga Istratehikong Pagbabawas upang Bawasan ang Panganib sa Pamilihan

Upang matugunan ang mga sistematikong kahinaan na inilantad ng AgreeToSteal, inirerekomenda ng mga eksperto sa seguridad ang ilang mga hakbang laban dito:

• Mag-trigger ng mga awtomatikong muling pagsusuri kapag ang tinukoy na URL ng isang add-in ay nagsimulang maghatid ng nilalamang lubhang naiiba sa orihinal na sinuri.
• Ipatupad ang pagpapatunay ng pagmamay-ari ng domain upang kumpirmahin na ang imprastraktura ay nananatili sa ilalim ng kontrol ng developer, at i-flag ang mga add-in kung saan nagbabago ang pagmamay-ari ng hosting.
• Magtatag ng mga mekanismo para mag-alis o magbigay ng babala sa mga user tungkol sa mga add-in na hindi na-update sa loob ng mga tinukoy na timeframe.
• Ipakita ang mga bilang ng pag-install upang makatulong sa pagtatasa ng pagkakalantad at potensyal na epekto.

Ang patuloy na pagsubaybay sa live na nilalaman, sa halip na umasa lamang sa static na pag-apruba ng manifest, ay mahalaga sa pagpapagaan ng mga panganib sa supply chain sa mga modernong ecosystem ng extension.

Isang Panawagan para sa mga Modelo ng Dynamic Dependency Trust

Ang kampanyang AgreeToSteal ay nagpapakita ng isang pangunahing hamon sa mga kontemporaryong modelo ng pamamahagi ng software. Ang mga add-in ng Office, mga extension ng browser, at mga katulad na tool na naka-host sa marketplace ay kadalasang umaasa sa malayuang, dynamic na inihahatid na nilalaman.

Kung walang pana-panahong muling pag-scan at pagsubaybay sa pag-uugali, ang mga pinagkakatiwalaang aplikasyon ay maaaring tahimik na maging mga sanhi ng pag-atake.

Ang kasong ito ay nagsisilbing babala sa mga operator ng platform at mga tagapagtanggol ng negosyo: ang tiwala ay dapat na patuloy na mapatunayan, lalo na kapag kasangkot ang malayuang imprastraktura at mga dynamic na dependency.