夜雨聆风
“已停用”的Outlook插件遭劫持,4000名微软Office商店用户遭遇网络钓鱼
研究人员发现,微软应用和插件市场的一个安全盲点使得一名眼尖的黑客得以劫持一个废弃的Outlook插件,实施网络钓鱼攻击,导致4000名用户受到损害。
这款名为AgreeTo的应用曾是一款会议日程安排工具,于2022年首次出现,但之后在某个时间点被其开发者弃用。尽管如此,该插件仍继续在微软网站上列出。一名黑客注意到其状态的变化,劫持了这个废弃的插件及其4.71星的评分,开展了一场网络钓鱼活动。发现此次攻击的插件安全公司Koi Security后来发现,该活动成功窃取了数千个微软账户凭证。
这是一次由老练攻击者实施的巧妙接管吗?事实上,据Koi Security称,由于开发者向微软市场提交插件的流程存在缺陷,这次劫持轻而易举。
向微软提交插件只需发送一个简单的XML清单,其中列出插件的名称和描述、下载URL以及所需的任何权限。无需上传代码进行评估。AgreeTo的清单只需链接到Vercel开发平台上托管的一个子域名URL(outlook-one.vercel.app),用户从该URL下载软件。
Koi Security的研究人员表示:“微软会审核清单、为其签名并在商店中列出该插件。但实际内容——用户界面、逻辑以及用户交互的所有内容——每次插件打开时都会从开发者的服务器实时获取。”
orphaned URL(孤立URL)
通过抢占这个废弃的子域名,攻击者获得了对原始清单中URL所指向内容的控制权。该内容被替换为一个新的URL,指向一个网络钓鱼工具包,其中包括一个用于收集密码的伪造微软登录页面、一个数据泄露脚本和一个重定向。原始清单还授予攻击者读取和修改电子邮件的权限。
Koi Security表示:“他们没有向微软提交任何东西。他们不需要通过任何审核。他们没有创建商店列表。该列表已经存在——经过微软审核、签名和分发。攻击者只需获取一个孤立的URL,剩下的就由微软的基础设施来完成。”
Koi Security称,被钓鱼的凭证和受害者IP地址通过一个简单的Telegram机器人自动发送给攻击者,无需复杂的命令与控制。
研究人员得以进入这个基础设施,发现有4000名受害者落入了攻击者的网络钓鱼陷阱;Koi Security后来联系了所有这些受害者,警告他们的凭证已被泄露。
Koi Security补充道,同一攻击者还运营着12个不同的网络钓鱼工具包,模仿各种银行和网络邮件提供商。从这些网站窃取的数据包括信用卡号、CVV、PIN码、收件人用于接收通过Interac电子转账系统支付的银行安全答案,以及密码凭证。
AgreeTo劫持事件暴露出的弱点在于微软的插件交付架构;它只是分发一个简单且可能不可靠的URL。Koi Security指出,正因为如此,“周一还安全的插件,周二就可能提供钓鱼页面——或者,就像本案中那样,数年后。微软在提交时审核清单,但实际内容可以随时更改,无需进一步审核。”
具有讽刺意味的是,早在2019年,另一家安全公司MDSec就已指出了这一弱点。AgreeTo被认为是微软市场上发现的首个恶意Outlook插件,这或许解释了为何在该研究之后没有实施更深入的URL检查。
截至2月12日,AgreeTo插件已不再在微软市场提供。仍在使用AgreeTo的用户应尽快将其移除,并重置微软账户密码。
Chrome的独立AgreeTo扩展程序于2024年停止工作;谷歌于2025年2月将其移除。
