Ein Team von Cyber-Sicherheitsforschern hat einen ungewöhnlichen, aber beunruhigenden Fall auf den Tisch gelegt: deren Erkennung nach ihren Ergebnissen die erste böswillige Ergänzung für Microsoft Outlook groß gesehen wäre. Das betroffene Stück, eine Erweiterung namens AgreeTo, stoppte mit seinem Entwickler aufrechtzuerhalten und dieses Fenster war genug für einen Angreifer, um die Remote-Infrastruktur zu nutzen und die Erfahrung in Outlook in eine Suplantierfalle zu verwandeln.
Um zu verstehen, warum dies möglich war, müssen wir überprüfen, wie die Erweiterungen oder "Add-Ins" des Amtes. Im Gegensatz zu einer gepackten Anwendung, die Ihren Code zum Zeitpunkt der Installation liefert, veröffentlichen Outlook-Add-Ins ein Manifest, das auf eine entfernte URL verweist. Jedes Mal, wenn der Benutzer das Plugin öffnet, lädt Outlook den Inhalt, den diese URL in einen iframe zurückgibt. Diese Flexibilität ist nützlich für Cloud-Updates und -Dienste, aber auch impliziert, dass das reale Verhalten der Ergänzung hängt ganz davon ab, was dieser Server in jedem Zugriff dient. Microsoft beschreibt diesen Fluss in seiner Dokumentation über die Verwendung von Plugins für Outlook: https: / / support.microsoft.com /....
In dem von der Firma Koi Security analysierten Vorfall zeigte das Komplement Manifest auf eine in Vercel gehostete URL, die zur Verfügung gestellt wurde, wenn der ursprüngliche Entwickler seine Bereitstellung nach dem Verlassen des Projekts entfernt. Mit diesem verfügbaren Hostnamen hat der Angreifer ein Phishing-Kit hochgeladen, das eine geschmiedete Microsoft-Login-Seite präsentierte. Die von den Opfern eingeführten Anmeldeinformationen wurden über die Telegram Bot API aus der Plattform gesendet und dann wurde das Opfer auf die legitime Seite von Microsoft umgeleitet, um den Trail zu decken. Nach Angaben der Koi-Forscher hätte diese Kampagne mehr als 4.000 gestohlene Anmeldeinformationen erhalten; Koi nähert seine Ergebnisse in seinem technischen Bericht: https: / / www.koi.ai / blog / adresstos-....
Der Fall wird ernster für die Berechtigungen, mit denen das Add-in konfiguriert wurde. Die fragliche Ergänzung forderte die readWriteItem Genehmigung, die es Ihnen erlaubt, die E-Mails des Benutzers aus Outlook zu lesen und zu ändern. Mit dieser Ebene des Zugangs könnte ein schädlicher Schauspieler viel mehr als gestohlene Passwörter getan haben: Es wäre möglich gewesen, ganze Mail-Nachrichten auszufiltern oder Code für verdeckte Operationen injizieren. Microsoft erklärt den Umfang dieser Berechtigungen in seinem Zusatzgenehmigungshandbuch: https: / / learn.microsoft.com /... / verständnis-outlooks-add-in-permissions.
Aus Sicht der Software-Versorgungskette zeigt die Folge eine strukturelle Verwundbarkeit: Märkte, die dynamische Abhängigkeiten zulassen, sind durch Design, das Vertrauen zu Artefakten, die sich nach einer ersten Auswertung ändern können. Koi und Medienexperten haben betont, dass dies nicht einzigartig für Outlook ist; ähnliche Muster wurden in Browser-Erweiterungen, npm Pakete und Entwicklungsumgebung ergänzt gesehen. Der typische Prozess - ein Manifest zum Zeitpunkt der Veröffentlichung zu überprüfen und die Zustimmung zu geben - garantiert nicht, dass der spätere Inhalt gleich ist.
Die von den Forschern vorgeschlagenen Eindämmungsmaßnahmen kombinieren technische Kontrollen mit Plattformpolitik. Dazu gehören Mechanismen, die Abweichungen zwischen den überarbeiteten Inhalten erkennen und dass die URL in Echtzeit zurückkehrt, Domain-Eigenschaftsvalidierungen, um zu überprüfen, dass der ursprüngliche Autor weiterhin die Infrastruktur verwaltet, und Richtlinien, um Ergänzungen zu markieren oder zurückzuziehen, die keine Updates nach längeren Abbruchzeiten erhalten. Sie empfehlen auch, die Sichtbarkeit zu erhöhen, indem z.B. die Anzahl der Einrichtungen zur Beurteilung des Umfangs eines möglichen Vorfalls angezeigt wird.
Inzwischen gibt es praktische Aktionen, die Nutzer und Administratoren heute ergreifen können, um das Risiko zu reduzieren. Überprüfen Sie regelmäßig die in Outlook installierten Plugins, entfernen Sie Add-Ins, die nicht mehr verwendet werden, beschränken Sie Berechtigungen auf das Minimum erforderlich und aktivieren Sie Konto-Schutz wie Authentifizierung von mehreren Faktoren sind häufig sinnvolle Maßnahmen, die die Lebensdauer von Angreifern kompliziert. Für Organisationen hilft das Auditing von Drittanbieter-Integrationen und das Anwenden von Zugriffs- und Überwachungskontrollen rund um Konten mit hohem Privileg, die Auswirkungen zu mindern, wenn ein Anmeldeschluss ausfällt.
Dieses Ereignis ist auch ein Weckruf für Marktteilnehmer: ein Manifest zu genehmigen, wenn es nicht die Notwendigkeit einer kontinuierlichen Überwachung der externen URLs ersetzt. Die gemeinsame Verantwortung zwischen Entwicklern, Plattformen und Nutzern ist entscheidend, um diese Art von Risiko in Dienstleistungen zu enthalten, die von dynamischen Remote-Inhalten abhängen. Microsoft benötigt Entwickler, um ein Konto zu erstellen und ihre Lösung an den Partner Center Prozess für die erste Überprüfung, aber die Herausforderung ist jetzt, diese Gateways mit permanenten Kontrollen zu ergänzen; die Lösung, die Guide an AppSource sendet, erklärt einen Teil des Publikationsflusses: https: / / learn.microsoft.com /... / einreichen-zu-appsource-via-partner-center.
Schließlich sollte daran erinnert werden, dass die Techniken, die von diesem Angreifer verwendet werden - Phishing in Infrastruktur nach dem Verlassen, Exfiltration durch öffentliche APIs wie Telegram ( https: / / chore.telegam.org / bots / api) und die Weitergabe an legitime Seiten zur Vermeidung von Erkennung - sind Taktiken bereits bekannt, aber hier auf eine neue Oberfläche angewendet: das Ökosystem der Add-Ins von Outlook. Die von Koi veröffentlichten Ergebnisse und die Verbreitung spezialisierter Medien sind eine Einladung, zu überdenken, wie Remote-Komponenten in den Märkten verwaltet werden und mehr Transparenz und kontinuierliche Kontrollen auf diesen Plattformen zu fordern. Um die Analyse von Koi zu lesen und die verwendete Technik zu vertiefen, ist Ihr Bericht eine gute Lektüre: Bericht von Koi Security.
Wenn Sie für IT verantwortlich sind oder Geschäftskonten verwalten, nehmen Sie dies als praktische Erinnerung: überprüfen und verschärfen Sie die Integration von Drittanbietern heute und fragen Sie die Verantwortlichen für Ihre Lieblingsvermarkter, kontinuierliche Kontrollen zu übernehmen. Die Bequemlichkeit der Ergänzungen sollte nicht zu einer Hintertür für Informationen Diebstahl.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...