Прв злонамерен Outlook додаток пронајден кој краде повеќе од 4.000 Microsoft креденцијали

Истражувачи за сајбер безбедност откриле што тие го нарекуваат првиот познат злонамерен додаток за Microsoft Outlook откриен во природата.

Во овој необичен напад на синџирот на снабдување, опишан од Koi Security, непознат напаѓач ја презел контролата над доменот поврзан со сега напуштен легитимен додаток за да прикаже лажна Microsoft страница за најавување, крадејќи повеќе од 4.000 креденцијали во процесот. Оваа активност беше кодирана од компанијата за сајбер безбедност како AgreeToSteal.

Додатокот за Outlook во прашање е AgreeTo, кој неговиот развивач го рекламира како начин за корисниците да ги поврзат различните календари на едно место и да ја споделат нивната достапност преку е-пошта. Додатокот последен пат бил ажуриран во декември 2022 година.

Идан Дардикман, коосновач и CTO на Koi, изјави за The Hacker News дека инцидентот претставува проширување на нападните вектори во синџирот на снабдување.

„Ова е иста класа на напади која сме ја виделе кај екстензии за прелистувачи, npm пакети и IDE плагини: доверлив канал за дистрибуција каде содржината може да се промени по одобрувањето,“ рече Дардикман. „Она што го прави особено загрижувачки Office додатоците е комбинацијата на фактори: тие работат внатре во Outlook, каде корисниците управуваат со своите најосетливи комуникации, можат да побараат дозволи за читање и менување на е-пошта, и се дистрибуираат преку Microsoft Store, кој носи имплицитна доверба.“

„Случајот со AgreeTo додава уште еден аспект: оригиналниот развивач не направи ништо лошо. Тие создале легитимен производ и се повлекле. Нападот го искористи празнината помеѓу моментот кога развивачот го напушта проектот и моментот кога платформата тоа го забележува. Секој маркетплејс кој хостира оддалечени динамички зависимости е подложен на ова.“

Во основа, нападот ја искористува работата на Office додатоците и недостигот на периодично мониторирање на содржината на додатоците објавени на Marketplace. Според документацијата на Microsoft, развивачите на додатоци мораат да креираат акаунт и да го поднесат својот производ на Partner Center, по што следи процес на одобрување.

Покрај тоа, Office додатоците користат manifest фајл кој декларира URL, чија содржина се повлекува и прикажува во реално време од серверот на развивачот секој пат кога се отвора во iframe елемент внатре во апликацијата. Сепак, ништо не го спречува злонамерниот актер да ја преземе контролата над истечен домен.

Во случајот со AgreeTo, manifest фајлот покажуваше кон URL хостиран на Vercel („outlook-one.vercel[.]app“), кој стана достапен за преземање откако Vercel инстанцијата на развивачот била избришана, бидејќи практично станал abandonware околу 2023 година. Инфраструктурата сè уште е активна во моментот на пишување.

Напаѓачот го искористи ова однесување за да постави фишинг кит на тој URL, кој прикажуваше лажна Microsoft страница за најавување, фаќајќи ги внесените лозинки, испраќајќи ги податоците преку Telegram Bot API, и на крајот го пренасочуваше жртвата кон вистинската Microsoft страница за најавување.

Но, Koi предупредува дека инцидентот можеше да биде и многу полош. Бидејќи додатокот е конфигуриран со „ReadWriteItem“ дозволи – што му овозможува да чита и менува е-пошта на корисникот – заканувач можел да ја искористи оваа „слепа зона“ за да постави JavaScript кој тајно би извлекувал содржина од сандачето на жртвата.

Наодите повторно го нагласуваат потребата од повторно скенирање на пакети и алатки објавени на маркетплејси и репозитории за да се откријат злонамерни или сомнителни активности.

Дардикман објасни дека, додека Microsoft ја прегледува manifest-датотеката за време на почетната фаза на поднесување, нема контрола врз фактичката содржина која се презема во живо од серверот на развивачот секој пат кога додатокот се отвора, откако е потпишан и одобрен. Како резултат на тоа, отсуството на континуирано мониторирање на тоа што URL-от служи отвора врата за неочекувани безбедносни ризици.

„Office додатоците се фундаментално различни од традиционалниот софтвер,“ додаде Дардикман. „Тие не се испорачуваат како статичен пакет код. Manifest едноставно декларира URL, и сè што тој URL во даден момент служи, се извршува внатре во Outlook. Во случајот со AgreeTo, Microsoft го потпиша manifest-от во декември 2022 година, кој покажуваше кон outlook-one.vercel.app. Тој ист URL сега служи фишинг кит, а додатокот сè уште е наведен во продавницата.“

За да се решат безбедносните проблеми, Koi препорачува неколку чекори кои Microsoft може да ги преземе:

• Да се иницира повторен преглед кога URL на додатокот почнува да враќа различна содржина од онаа што била за време на прегледот.
• Да се потврди сопственоста на доменот за да се осигура дека е управуван од развивачот на додатокот и да се означат додатоците каде инфраструктурата на доменот променил сопственик.
• Да се воведе механизам за отстранување или означување на додатоци кои не се ажурирани подолг период.
• Да се прикажат броеви на инсталации како начин за проценка на влијанието.

The Hacker News се обрати до Microsoft за коментар и ќе ја ажурира сторијата ако добие одговор.

Стои за забележување дека проблемот не е ограничен само на Microsoft Marketplace или Office Store. Минатиот месец, Open VSX најави планови да воведе безбедносни проверки пред Microsoft Visual Studio Code (VS Code) екстензии да бидат објавени во отворениот репозиториум. Слично на тоа, Microsoft VS Code Marketplace периодично врши масовно повторно скенирање на сите пакети во регистарот.

„Структурниот проблем е ист на сите маркетплејси кои хостираат оддалечени динамички зависимости: одобрете еднаш, доверувајте секогаш,“ рече Дардикман. „Деталите варираат по платформа, но фундаменталната празнина која овозможи AgreeTo постои секогаш кога маркетплејс ја прегледува manifest-датотеката при поднесување без да ја следи содржината која URL-от навистина служи потоа.“

Извори:

• The Hacker News – First Malicious Outlook Add-In Found Stealing 4,000+ Microsoft Credentials The Hacker News