Microsoft Outlook アドインが4000件以上のアカウントとクレジットカード情報を盗んだ

概要

セキュリティ研究者が発見した、最初の悪意のあるOfficeアドイン「AgreeTo」が、Microsoft Outlook アドインストアから4000件以上のログイン資格情報とクレジットカード情報を盗んだ。

2022年に開発者が「AgreeTo」という合法的な会議スケジューリングツールをMicrosoft Office アドインストアに公開しました。しかし、プロジェクトが放棄され、ホスティングドメインも期限切れになりました。

Officeアドインはインストールされたコードではなく、Outlook内で読み込まれるウェブページです。そのため、URLが生きていることが必要となります。「AgreeTo」アドインはVercelのサブドメイン(outlook-one.vercel.app)を指していました。

開発者がプロジェクトを削除した後、そのサブドメインは誰でも取得できる状態になりました。攻撃者はそれを登録し、既存のユーザーがOutlookサイドバーで見ていたものを制御することができました。

Microsoftのセキュリティレビューはアドインの「マニフェスト」（設定ファイル）を最初の提出時にのみチェックします。そのため、URLの内容が変更された場合でも、Microsoftは再確認を行いません。

攻撃者は、「AgreeTo」アドインに偽のMicrosoftサインインページをデプロイしました。ユーザーがアドインを開くとログインを求められ、メールアドレス、パスワード、IPアドレスなどの情報をキャプチャし、Telegramボット経由で攻撃者に直接送信されました。

Koi Securityのセキュリティ研究者がこの操作を発見し、攻撃者のエクスフィラートチャネルにアクセスしました。4000人以上の被害者から以下の情報を回収しました：

この攻撃は、現代のソフトウェアサプライチェーンにおける重大な構造的な弱点を示しています。Officeアドインは「リモート動的依存関係」として機能し、ダウンロードされたファイルとは異なり、その内容がいつでも変更される可能性があります。

「AgreeTo」マニフェストにはReadWriteItem権限があり、ユーザーのメールを読み取り、修正する能力がありました。攻撃者は単純なフィッシングページを使用していましたが、サイレントでインボックスを読むか、代行としてメールを送信する技術的なアクセスも持っていました。

Microsoftはアドインストアから「AgreeTo」アドインを取り除きましたが、攻撃者のフィッシングインフラストラクチャは店外で依然としてアクティブでした。この事件は、Officeアドインのセキュリティレビューと管理プロセスを見直す必要性を示しています。

元記事: https://gbhackers.com/microsoft-outlook-add-in-stolen-4000-accounts/