Los investigadores de ciberseguridad han descubierto lo que, según ellos, es el primer complemento malicioso conocido de Microsoft Outlook detectado en la naturaleza.
En este inusual ataque a la cadena de suministro detallada de Koi Security, un atacante desconocido reclamó el dominio asociado a un complemento legítimo ahora abandonado para publicar una página de inicio de sesión falsa de Microsoft, robando más de 4.000 credenciales en el proceso. La actividad ha recibido un nombre en clave Acepto robar de la empresa de ciberseguridad.
El complemento de Outlook en cuestión es Estoy de acuerdo , que su desarrollador anuncia como una forma para que los usuarios conecten diferentes calendarios en un solo lugar y compartan su disponibilidad por correo electrónico. El complemento se actualizó por última vez en diciembre de 2022.
Idan Dardikman, cofundador y director de tecnología de Koi, dijo a The Hacker News que el incidente representa una ampliación de los vectores de ataque a la cadena de suministro.
«Este es el mismo tipo de ataque que hemos visto en las extensiones de navegador, los paquetes npm y los complementos de IDE: un canal de distribución confiable en el que el contenido puede cambiar después de la aprobación», dijo Dardikman. «Lo que hace que los complementos de Office sean especialmente preocupantes es la combinación de factores: se ejecutan dentro de Outlook, donde los usuarios gestionan sus comunicaciones más delicadas, pueden solicitar permisos para leer y modificar los correos electrónicos, y se distribuyen a través de La propia tienda de Microsoft , lo que conlleva una confianza implícita».
adsense«El caso AgreeTo añade otra dimensión: el desarrollador original no hizo nada malo. Crearon un producto legítimo y siguieron adelante. El ataque aprovechó la brecha entre el momento en que un desarrollador abandona un proyecto y el momento en que la plataforma se da cuenta. Todos los mercados que alojan dependencias dinámicas remotas son susceptibles a esto».
En esencia, el ataque explota el funcionamiento de los complementos de Office y la falta de supervisión periódica del contenido de los complementos publicados en Marketplace. Según la documentación de Microsoft, los desarrolladores de complementos son requerido para crear una cuenta y enviar su solución al Centro de socios, tras lo cual se somete a un proceso de aprobación.
Además, los complementos de Office utilizan un archivo de manifiesto que declara una URL, cuyo contenido se obtiene y se publica en tiempo real desde el servidor del desarrollador cada vez que se abre en un elemento iframe de la aplicación. Sin embargo, no hay nada que impida que un mal actor tome el control de un dominio caducado.
En el caso de AgreeTo, el archivo de manifiesto apuntaba a una URL alojada en Vercel («aplicación outlook-one.vercel [.]»), que pasó a ser reclamable tras la eliminación de la implementación de Vercel por parte del desarrollador, ya que básicamente se convirtió en abandonware alrededor de 2023. La infraestructura aún estaba activa en el momento de escribir este artículo.
El atacante aprovechó este comportamiento para montar un kit de suplantación de identidad en esa URL que mostraba una página de inicio de sesión falsa de Microsoft, capturaba las contraseñas introducidas, filtraba los detalles a través de la API de bots de Telegram y, finalmente, redirigía a la víctima a la página de inicio de sesión real de Microsoft.
Pero Koi advierte que el incidente podría haber sido peor. Dado que el complemento está configurado con» Artículo de lectura/escritura «permisos, que le permiten leer y modificar los correos electrónicos del usuario, un actor de amenazas podría haber abusado de este punto ciego para implementar JavaScript que puede desviar de forma encubierta el contenido del buzón de la víctima.
Los hallazgos ponen de manifiesto una vez más la necesidad de volver a escanear los paquetes y las herramientas subidas a los mercados y repositorios para detectar actividades maliciosas o sospechosas.
Dardikman dijo que, si bien Microsoft revisa el manifiesto durante la fase de envío inicial, no tiene control sobre el contenido real que se recupera en vivo del servidor del desarrollador cada vez que se abre el complemento, una vez que se firma y aprueba. En consecuencia, la ausencia de una supervisión continua del contenido de la URL abre la puerta a riesgos de seguridad no deseados.
«Los complementos de Office son fundamentalmente diferentes del software tradicional», añadió Dardikman. «No incluyen un paquete de código estático. El manifiesto simplemente declara una URL, y lo que sea que sirva esa URL en un momento dado es lo que se ejecuta en Outlook. En el caso de AgreeTo, Microsoft firmó el manifiesto en diciembre de 2022, apuntando a outlook-one.vercel.app. Esa misma URL ahora incluye un kit de suplantación de identidad, y el complemento sigue apareciendo en la tienda».
Para contrarrestar los problemas de seguridad que plantea la amenaza, Koi recomienda una serie de medidas que Microsoft puede tomar:
- Activa una nueva revisión cuando la URL de un complemento comience a mostrar contenido diferente al que tenía durante la revisión.
- Verifique la propiedad del dominio para asegurarse de que lo administre el desarrollador del complemento y marque los complementos en los que la infraestructura del dominio haya cambiado de manos.
- Implemente un mecanismo para eliminar de la lista o marcar los complementos que no se hayan actualizado más allá de un período de tiempo determinado.
- La instalación de pantallas cuenta como una forma de evaluar el impacto.
The Hacker News se ha puesto en contacto con Microsoft para solicitar comentarios y actualizaremos la historia si recibimos noticias.
Cabe señalar que el problema no se limita únicamente a Microsoft Marketplace o Office Store. El mes pasado, Open VSX anunciado planea aplicar las comprobaciones de seguridad antes de que las extensiones de Microsoft Visual Studio Code (VS Code) se publiquen en el repositorio de código abierto. Del mismo modo, VS Code Marketplace de Microsoft vuelve a escanear de forma masiva y periódica todos los paquetes del registro.
«El problema estructural es el mismo en todos los mercados que albergan dependencias dinámicas remotas: aprueben una vez, confíen para siempre», afirma Dardikman. «Los detalles varían según la plataforma, pero la brecha fundamental que permitió usar AgreeTo existe en cualquier plataforma que revise un manifiesto en el momento de su envío sin supervisar el contenido real de las URL a las que se hace referencia después».
Post generado automáticamente, fuente oficial de la información: THEHACKERNEWS