Vor ein paar Tagen zeigte ein störender Vorfall, wie sehr die Vertrauenskette in Mail-Erweiterungen gebrochen werden kann, wenn ein Projekt "verwaist" ist. Eine legitime Ergänzung zu Outlook genannt AgreeTo, ursprünglich erstellt, um Meeting-Programmierung zu erleichtern, wurde entführt und verwandelte sich in ein Phishing-Kit, dass nach der Forschung, um mehr als 4.000 Microsoft-Konto-Anmeldeinformationen zu sammeln, sowie sensible Daten wie Kartennummern und Antworten auf Sicherheitsfragen.
Es war kein Fehler in Outlook, aber wie Office-Adressen funktionieren: Diese Ergänzungen sind grundsätzlich auf Entwicklerservern gehostete Webseiten und werden in Microsofts Client geladen. Microsoft überprüft das Add-in Manifest zum Zeitpunkt der Veröffentlichung und markiert es, aber außer Ausnahmen gibt es keine kontinuierliche Kontrolle über die Inhalte, die diese URL dient, sobald das Plugin bereits veröffentlicht ist. Die offizielle Dokumentation erklärt, wie diese Ergänzungen integriert sind und warum ihre Inhalte von jedem externen Server stammen können: dies ist Teil der Office Add-ins Architektur.
Im Fall von AgreeTo veröffentlichte der ursprüngliche Entwickler die Ergänzung im Dezember 2022 und verwendete eine URL, die in Vercel gehostet wurde. Im Laufe der Zeit wurde die Anwendung aufgegeben und die Domain, die mit dieser Bereitstellung verbunden war, für Anspruch zur Verfügung gestellt. Ein schädlicher Schauspieler nutzte diese Gelegenheit, um die URL auf eine Reihe von Seiten, die entworfen, um den Benutzer zu täuschen: eine Replik der Microsoft-Login-Seite, eine Seite, um Passwörter zu sammeln, ein Skript, um diese Daten an den Angreifer zu senden und eine Adresse nach der legitimen Seite, um die Diebstahl zu verkleiden.
Der Exfiltrationsmechanismus war überraschend direkt: Die gestohlenen Daten wurden über die Telegram Bot API gesendet, ein Kanal, den die Forscher von Koi Security verwalteten, um die Skala des Angriffs zu bestätigen. Infolge dieses Zugangs fanden die Analysten heraus, dass die Betreiber Tausende von Anmeldeinformationen gesammelt hatten und die gestohlenen Konten aktiv testeten, um ihre Gültigkeit zu überprüfen. Der technische Bericht des Teams, das den Vorfall entdeckte, enthält alle Ergebnisse und Analysen des Phishing Kits: Koi Security: Untersuchung von AgreeTo.
Die Nachrichten wurden von spezialisierten Medien gesammelt, die auf den Umfang und die Einzigartigkeit des Falles hingewiesen haben: nach Berichten könnte es die erste dokumentierte Instanz einer böswilligen Ergänzung sein, die aus dem offiziellen Microsoft-Shop funktioniert und das implizite Vertrauen, das Nutzer auf dem Marktplatz platzieren. Unter anderem Abdeckungen BleepingComputer berichtet über Forschung und erste Reaktion.
Aus technischer Sicht behalten die Add-in-Berechtigungen, die es ihm erlaubt hätten, Nachrichten zu lesen und zu ändern (ReadWriteItem). Obwohl Koi keine Beweise gefunden hat, dass der Schauspieler sie benutzt hatte, um Post zu manipulieren oder Speditionsregeln zu erstellen, erhöht der bloße Besitz dieser Genehmigungen das Risiko: eine bösartige Erweiterung mit der Fähigkeit, das Postfach zu ändern, könnte zusätzliche Informationen stehlen oder offene persistente Routen in einem kompromittierten Konto.
Wie haben Sie die Situation genutzt? Die Strömung des Betrugs war einfach und effektiv. Wenn ein Benutzer die Erweiterung auf der Outlook-Seitenleiste öffnete, erschien ein Formular als der wahre Microsoft-Authentifizierungsbildschirm. Als sie Anmeldeinformationen einführten, wurden sie an den vom Angreifer kontrollierten Server geschickt und dann wurde das Opfer auf die eigentliche Anmeldeseite umgeleitet, so dass das Verhalten legitim schien und der Benutzer nicht sofort vermutet.
Die Angreifer zeigten auch ein Muster: Koi Security weist darauf hin, dass der Betreiber hinter diesem Kit mehrere Sammlungen von Phishing-Seiten verwaltet, die an Dienstleister, Banken und Web-Mails adressiert sind. Dies schlägt ein wiederkehrendes Geschäftsmodell vor, das auf wiederverwendbaren Kits basiert, die dort eingesetzt werden, wo es eine Gelegenheit gibt, und in diesem Fall die Möglichkeit entstand, weil eine zugelassene Ergänzung ohne Wartung und ihre URL beansprucht wurde.
Was haben Microsoft und die Forscher getan? Koi Analysten erkannten die Aktivität, besuchten den Exfiltrationskanal und dokumentierten das Ausmaß des Raubüberfalls. Nach der Offenlegung entfernte Microsoft das Plugin des Stores. Es ist wichtig zu beachten, dass der rasche Rückzug eines Add-Ins die bereits verübten Konten nicht automatisch repariert; daher ist die Kommunikation von Befunden und Empfehlungen an die Nutzer in diesen Fällen kritisch.
Wenn Sie die AgreeTo-Erweiterung in Ihrem Outlook installiert haben oder Verdacht, dass Ihr Konto möglicherweise betroffen gewesen wäre, schnell handeln. Zuerst löschen Sie das Plugin und ändern Sie Ihr Microsoft-Konto-Passwort. Es aktiviert Multifaktor-Authentifizierung (MFA), wenn Sie es noch nicht aktiviert haben: zusätzlicher Schutz reduziert die Wirksamkeit von gestohlenen Anmeldeinformationen stark. Microsoft erklärt, wie MFA funktioniert und warum es eine wesentliche Barriere ist: mehr über Multifaktor-Authentifizierung. Es ist auch angebracht, die aktuelle Login-Aktivität zu überprüfen, offene Sitzungen zu schließen und zu überprüfen, ob es irgendwelche Weiterleitungsregeln oder verdächtige Berechtigungen in der Mailbox.
Dieser Fall lässt mehrere klare Lektionen für Benutzer und Plattformen: Erweiterungsmärkte sollten ihre fortlaufenden Kontrollen über den Inhalt einer genehmigten URL verbessern, insbesondere wenn diese URL seinen Eigentümer oder den Entwickler aufhört, diese zu behalten. Für Benutzer, Vorsicht geht durch Einschränkung der Berechtigungen auf die streng notwendigen, misstrauischen Anmeldeformulare in Websites oder Anwendungen, die Sie nicht erwartet und mit einzigartigen Passwörtern zusammen mit Manager und MFA. Bei Managern und Sicherheitsbeamten ist es unerlässlich, regelmäßig in Unternehmensumgebungen installierte Erweiterungen zu prüfen und Strategien umzusetzen, die die Installation nicht bestätigter Ergänzungen durch die IT-Abteilung verhindern.
Wenn Sie in die technischen Details des Angriffs gehen möchten, bietet die Koi Security-Untersuchung eine detaillierte Analyse des Kits und der Verpflichtungsindikatoren. Um zu verstehen, wie die API von den Angreifern verwendet, um Daten zu exfiltern funktioniert, Telegram offizielle Dokumentation über Bots und seine API erklärt, warum dieser Kanal gewählt wurde: Telegram Bot API. Und wenn Sie organisatorische Ergänzungen verwalten müssen, hat Microsoft Management Anleitungen, wie man Add-Ins in Microsoft 365 Umgebungen steuern und entfernen: Verwaltung von Add-Ins in Microsoft 365.
Kurz gesagt, die AgreeTo Episode ist eine Erinnerung, dass die Sicherheit nicht endet, wenn eine Software in einem offiziellen Speicher veröffentlicht wird: kontinuierliche Überwachung, sowohl von Plattformen und Benutzern, ist wichtig für das Ökosystem von Ergänzungen zu bleiben nützlich und sicher. Wenn Sie nach einer möglichen Exposition Zweifel an konkreten Schritten haben, konsultieren Sie die offizielle Unterstützung oder Ihr Sicherheitsteam und priorisieren Sie den sofortigen Zugriff durch Änderung von Schlüsseln und Aktivierung von MFA.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...