Уязвимость в безопасности Microsoft позволила хакеру захватить заброшенную надстройку Outlook AgreeTo и использовать ее для фишинга, скомпрометировав 4000 пользователей. Исследователи обнаружили, что недостаток проверки контента надстроек привел к краже учетных данных. — csoonline.com
Уязвимость в системе безопасности магазина приложений и надстроек Microsoft позволила внимательному хакеру захватить заброшенную надстройку Outlook и использовать ее для проведения фишинговых атак, в результате которых пострадали 4000 пользователей, как выяснили исследователи.
Приложение AgreeTo, о котором идет речь, представляет собой (или представляло) инструмент для планирования встреч, появившийся в 2022 году, но впоследствии заброшенный разработчиком. Несмотря на это, надстройка продолжала числиться на сайте Microsoft.
Хакер заметил изменение статуса и захватил «мертвую» надстройку вместе с ее рейтингом 4,71 звезды, чтобы провести фишинговую кампанию. Компания Koi Security, специализирующаяся на безопасности плагинов, которая обнаружила атаку, впоследствии выяснила, что злоумышленникам удалось украсть тысячи учетных данных пользователей Microsoft.
Было ли это хитрой операцией искушенного злоумышленника? На самом деле, по данным Koi Security, захват был легким благодаря недостаткам в процессе подачи надстроек в магазин Microsoft.
Для отправки надстройки в Microsoft достаточно предоставить простой XML-манифест, содержащий название и описание надстройки, URL для скачивания и необходимые разрешения.
Код для проверки не загружается. Манифест AgreeTo просто ссылался на поддомен outlook-one.vercel.app, размещенный на платформе разработки Vercel, откуда пользователи скачивали программное обеспечение.
«Microsoft проверяет манифест, подписывает его и добавляет надстройку в свой магазин. Но фактический контент — пользовательский интерфейс, логика, все, с чем взаимодействует пользователь — загружается в реальном времени с сервера разработчика каждый раз при открытии надстройки», — сообщили исследователи Koi Security.
Заброшенный URL
Захватив заброшенный поддомен, злоумышленник получил контроль над всем, на что указывал исходный URL в манифесте. Этот контент был заменен новым URL, ведущим на фишинговый набор, включающий поддельную страницу входа Microsoft для сбора паролей, скрипт для кражи данных и перенаправление. Исходный манифест также предоставлял злоумышленнику разрешение на чтение и изменение электронной почты.
«Они ничего не отправляли в Microsoft. Им не требовалось проходить какую-либо проверку. Они не создавали листинг в магазине. Листинг уже существовал — проверенный Microsoft, подписанный Microsoft, распространяемый Microsoft. Злоумышленник просто захватил заброшенный URL, а инфраструктура Microsoft сделала все остальное», — заявили в Koi Security.
Украденные учетные данные и IP-адреса жертв автоматически отправлялись злоумышленнику через простой Telegram-бот, без необходимости сложной системы управления и контроля (command & control), сообщили в Koi Security.
Исследователям удалось проникнуть в эту инфраструктуру и обнаружить, что 4000 жертв попали в фишинговую ловушку злоумышленника. Все они впоследствии были уведомлены Koi Security о компрометации их учетных данных.
Выяснилось, что тот же злоумышленник использовал 12 различных фишинговых наборов, имитирующих различные банки и поставщиков веб-почты, добавили в Koi Security. Украденные с этих сайтов данные включали номера кредитных карт, CVV-коды, PIN-коды и ответы на секретные вопросы, которые получатели использовали для приема платежей через систему Interac e-Transfer, а также учетные данные для входа.
Слабость, выявленная в результате захвата AgreeTo, заключается в архитектуре доставки надстроек Microsoft: она просто распространяет простой и потенциально ненадежный URL. Из-за этого, как отметили в Koi Security, «надстройка, безопасная в понедельник, может показывать фишинговую страницу во вторник — или, как в данном случае, спустя годы. Microsoft проверяет манифест при отправке, но фактический контент может меняться в любое время без дополнительной проверки».
Иронично, но эта уязвимость была выявлена еще в 2019 году другой компанией по безопасности, MDSec. Считается, что AgreeTo — первая вредоносная надстройка Outlook, когда-либо обнаруженная в магазине Microsoft, что, возможно, объясняет, почему после этого исследования не было реализовано более глубокое сканирование URL.
По состоянию на 12 февраля надстройка AgreeTo больше не доступна в магазине Microsoft. Пользователям AgreeTo рекомендуется удалить ее как можно скорее и сменить пароли от своих учетных записей Microsoft.
Отдельное расширение AgreeTo для Chrome перестало работать в 2024 году; Google удалил его в феврале 2025 года.
Эта статья изначально была опубликована на Computerworld.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John E. Dunn