Tiện ích bổ sung độc hại cho Outlook AgreeTo

Các nhà nghiên cứu an ninh mạng đã phát hiện ra thứ được cho là tiện ích bổ sung độc hại đầu tiên dành cho Microsoft Outlook được tìm thấy trong thực tế. Chiến dịch này, có tên mã là AgreeToSteal, đại diện cho một cuộc tấn công chuỗi cung ứng mới và đáng lo ngại, lợi dụng lòng tin trong hệ sinh thái tiện ích bổ sung Office của Microsoft.

Trong vụ việc này, một kẻ tấn công đã chiếm đoạt tên miền liên kết với một tiện ích bổ sung Outlook đã bị bỏ rơi nhưng vẫn hợp pháp. Bằng cách tái sử dụng cơ sở hạ tầng đã hết hạn, kẻ tấn công đã triển khai một trang đăng nhập Microsoft giả mạo và thu thập thành công hơn 4.000 thông tin đăng nhập của người dùng.

Phát hiện này báo hiệu một giai đoạn mới trong các mối đe dọa chuỗi cung ứng dựa trên thị trường, lần này nhắm vào phần mềm năng suất doanh nghiệp ở cốt lõi của nó.

Từ công cụ tăng năng suất đến công cụ tấn công lừa đảo

Tiện ích bổ sung bị xâm phạm, được biết đến với tên gọi AgreeTo, ban đầu được phát triển để giúp người dùng hợp nhất nhiều lịch và chia sẻ thông tin về thời gian rảnh thông qua email. Lần cập nhật cuối cùng là vào tháng 12 năm 2022.

Khác với các chiến dịch phát tán phần mềm độc hại truyền thống, cuộc tấn công này không khai thác lỗ hổng trong mã nguồn. Thay vào đó, nó lợi dụng điểm yếu về cấu trúc trong cách thức hoạt động của các tiện ích bổ sung Office. Các nhà nghiên cứu phân loại đây là một biến thể của các cuộc tấn công đã được quan sát trước đây ảnh hưởng đến các tiện ích mở rộng trình duyệt, gói npm và plugin IDE, các kênh phân phối đáng tin cậy nơi nội dung đã được phê duyệt có thể thay đổi sau đó mà không gây ra sự kiểm tra.

Các tiện ích bổ sung cho Office tiềm ẩn rủi ro cao hơn do một số yếu tố kết hợp:

• Chúng được thực thi trực tiếp trong Outlook, nơi xử lý các thông tin liên lạc có tính bảo mật cao.
• Họ có thể yêu cầu các quyền hạn mạnh mẽ, bao gồm khả năng đọc và chỉnh sửa email.
• Chúng được phân phối thông qua cửa hàng chính thức của Microsoft, kế thừa sự tin tưởng ngầm của người dùng.

Vụ việc AgreeTo nhấn mạnh một thực tế quan trọng: nhà phát triển ban đầu không hề có hành vi xấu. Một sản phẩm hợp pháp đã được tạo ra và sau đó bị bỏ rơi. Cuộc tấn công đã lợi dụng khoảng trống giữa thời điểm dự án bị bỏ rơi và sự giám sát của thị trường.

Khai thác kiến trúc Add-In của Office

Vấn đề cốt lõi nằm ở thiết kế của các tiện ích bổ sung cho Office. Các nhà phát triển gửi tiện ích bổ sung của họ thông qua Trung tâm Đối tác của Microsoft, nơi giải pháp được xem xét và phê duyệt. Tuy nhiên, việc phê duyệt chủ yếu dựa trên tệp kê khai, chứ không phải gói mã tĩnh.

Các tiện ích bổ sung cho Office khác biệt về cơ bản so với phần mềm thông thường. Thay vì cung cấp mã nguồn được đóng gói, tệp kê khai chỉ định một URL. Mỗi khi tiện ích bổ sung được mở trong Outlook, ứng dụng sẽ truy xuất nội dung trực tiếp từ URL đó và hiển thị nội dung đó trong một iframe.

Mô hình kiến trúc này tạo ra một lỗ hổng nghiêm trọng: sau khi được phê duyệt và ký kết, tiện ích bổ sung sẽ tiếp tục tải bất kỳ nội dung nào mà URL được tham chiếu cung cấp trong thời gian thực. Nếu quyền kiểm soát URL đó thay đổi, do tên miền hết hạn hoặc cơ sở hạ tầng bị bỏ hoang, nội dung độc hại có thể được đưa vào mà không cần sửa đổi bản kê khai đã ký.

Trong trường hợp AgreeTo, tệp kê khai tham chiếu đến một URL được lưu trữ trên Vercel (outlook-one.vercel[.]app). Sau khi bản triển khai của nhà phát triển bị xóa và dự án thực sự trở thành phần mềm bị bỏ rơi vào khoảng năm 2023, URL này trở nên có thể bị chiếm quyền. Kẻ tấn công đã chiếm quyền kiểm soát nó trong khi tiện ích bổ sung vẫn được liệt kê trong cửa hàng của Microsoft.

Tính đến thời điểm đưa tin, cơ sở hạ tầng vẫn đang hoạt động.

Thực hiện tấn công lừa đảo và đánh cắp thông tin đăng nhập

Sau khi chiếm quyền kiểm soát hệ thống triển khai bị bỏ hoang, kẻ tấn công đã cài đặt một bộ công cụ lừa đảo tại URL được đề cập. Nội dung độc hại hiển thị một trang đăng nhập giả mạo của Microsoft được thiết kế để đánh cắp thông tin đăng nhập của người dùng.

Các mật khẩu bị đánh cắp đã được trích xuất bằng API của Telegram Bot. Sau đó, các nạn nhân được chuyển hướng đến trang đăng nhập hợp pháp của Microsoft, làm giảm sự nghi ngờ và tăng khả năng đánh cắp thông tin đăng nhập thành công.

Mặc dù hoạt động được quan sát tập trung vào việc thu thập thông tin đăng nhập, các nhà nghiên cứu cảnh báo rằng tác động có thể nghiêm trọng hơn nhiều. Tiện ích bổ sung này được cấu hình với quyền ReadWriteItem, cho phép đọc và chỉnh sửa email của người dùng. Một kẻ tấn công nguy hiểm hơn có thể đã triển khai JavaScript có khả năng âm thầm đánh cắp nội dung hộp thư, tạo ra một phương thức gián điệp mạnh mẽ trong môi trường doanh nghiệp.

Lỗ hổng giám sát thị trường với những hệ quả rộng lớn hơn

Microsoft xem xét các bản kê khai tiện ích bổ sung trong quá trình gửi ban đầu, nhưng không có sự xác thực liên tục đối với nội dung trực tiếp được cung cấp bởi các URL được tham chiếu sau khi phê duyệt. Điều này tạo ra một lỗ hổng về độ tin cậy: bản kê khai được ký một lần, nhưng nội dung từ xa mà nó tham chiếu có thể thay đổi vô thời hạn.

Tiện ích bổ sung AgreeTo đã được phê duyệt vào tháng 12 năm 2022. Mặc dù nội dung gốc là hợp lệ tại thời điểm phê duyệt, nhưng hiện tại URL đó lại được sử dụng làm công cụ lừa đảo và tiện ích bổ sung này vẫn có sẵn trên cửa hàng ứng dụng.

Vấn đề này không chỉ giới hạn trong hệ sinh thái của Microsoft. Bất kỳ nền tảng thương mại điện tử nào phê duyệt một lần mà không giám sát liên tục các phụ thuộc động từ xa đều phải đối mặt với những rủi ro tương tự. Điểm yếu về cấu trúc này nhất quán trên tất cả các nền tảng: phê duyệt một lần, tin tưởng vô thời hạn.

Các biện pháp giảm thiểu chiến lược để giảm rủi ro trên thị trường

Để khắc phục những điểm yếu mang tính hệ thống do AgreeToSteal phơi bày, các chuyên gia bảo mật khuyến nghị một số biện pháp đối phó sau:

• Kích hoạt quá trình xem xét lại tự động khi URL được tham chiếu của tiện ích bổ sung bắt đầu hiển thị nội dung khác biệt đáng kể so với nội dung đã được xem xét ban đầu.
• Triển khai xác thực quyền sở hữu tên miền để đảm bảo cơ sở hạ tầng vẫn nằm dưới sự kiểm soát của nhà phát triển và gắn cờ các tiện ích bổ sung khi quyền sở hữu máy chủ thay đổi.
• Thiết lập các cơ chế để gỡ bỏ hoặc cảnh báo người dùng về các tiện ích bổ sung chưa được cập nhật trong khung thời gian đã định.
• Số liệu lắp đặt màn hình giúp đánh giá mức độ tiếp xúc và tác động tiềm tàng.

Việc giám sát liên tục nội dung trực tiếp, thay vì chỉ dựa vào việc phê duyệt danh mục tĩnh, là điều cần thiết để giảm thiểu rủi ro chuỗi cung ứng trong các hệ sinh thái tiện ích mở rộng hiện đại.

Lời cảnh tỉnh cho các mô hình tin cậy phụ thuộc động

Chiến dịch AgreeToSteal minh họa một thách thức cơ bản trong các mô hình phân phối phần mềm hiện đại. Các tiện ích bổ sung cho văn phòng, tiện ích mở rộng trình duyệt và các công cụ tương tự được lưu trữ trên các cửa hàng ứng dụng thường dựa vào nội dung được cung cấp từ xa và động.

Nếu không được quét lại định kỳ và giám sát hành vi, các ứng dụng đáng tin cậy có thể âm thầm biến thành các điểm yếu dễ bị tấn công.

Vụ việc này là lời cảnh báo cho cả các nhà điều hành nền tảng và các nhà bảo mật doanh nghiệp: lòng tin phải được liên tục xác thực, đặc biệt khi liên quan đến cơ sở hạ tầng từ xa và các phụ thuộc động.