นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบ Add-in ที่เป็นอันตรายของ Microsoft Outlook ตัวแรกที่ตรวจพบในการโจมตีแบบ Supply Chain โดยนักโจมตีได้เข้าครอบครองโดเมนที่ถูกทิ้งร้างของ Add-in ที่ถูกต้องตามกฎหมาย เพื่อโฮสต์หน้าเข้าสู่ระบบ Microsoft ปลอม และขโมยข้อมูลประจำตัวกว่า 4,000 รายการ เหตุการณ์นี้ถูกตั้งชื่อว่า ‘AgreeToSteal’ ซึ่งเน้นย้ำถึงช่องโหว่ในการตรวจสอบเนื้อหาของ Marketplace และความเสี่ยงจาก Add-in ที่โหลดเนื้อหาแบบไดนามิกจากภายนอก
Severity: สูง
System Impact:
- Microsoft Outlook Add-ins
- Microsoft Marketplace (Office Store)
- Vercel (แพลตฟอร์มโฮสติง)
- Microsoft Azure / Microsoft 365 (สำหรับข้อมูลประจำตัวที่ถูกขโมย)
- Browser Extensions
- NPM Packages
- IDE Plugins (ระบุว่าเป็นช่องทางโจมตีที่คล้ายกัน)
Technical Attack Steps:
- นักโจมตีได้เข้าครอบครองโดเมนที่เชื่อมโยงกับ Outlook Add-in ที่ถูกต้องตามกฎหมายที่ถูกทิ้งร้างไปแล้ว (AgreeTo)
- ไฟล์ Manifest ของ Add-in นี้ชี้ไปยัง URL ที่โฮสต์อยู่บน Vercel (outlook-one.vercel[.]app)
- การติดตั้ง Vercel ดั้งเดิมของนักพัฒนาถูกลบเนื่องจากถูกทิ้งร้างประมาณปี 2023 ทำให้โดเมนสามารถอ้างสิทธิ์ได้
- นักโจมตีใช้ประโยชน์จากช่องโหว่นี้เพื่อโฮสต์หน้าเข้าสู่ระบบ Microsoft ปลอม (phishing kit) บน URL Vercel ที่ถูกครอบครอง
- ผู้ใช้ที่ติดตั้งหรือใช้งาน Add-in จะถูกนำเสนอด้วยหน้าเข้าสู่ระบบปลอมนี้
- ข้อมูลประจำตัวที่ป้อน (รหัสผ่าน) ถูกบันทึกไว้
- ข้อมูลที่ถูกขโมยถูกส่งออกผ่าน Telegram Bot API
- หลังจากขโมยข้อมูลประจำตัวแล้ว เหยื่อจะถูกเปลี่ยนเส้นทางไปยังหน้าเข้าสู่ระบบ Microsoft ของจริง
- Add-in นี้มีสิทธิ์ ‘ReadWriteItem’ ซึ่งสามารถอ่านและแก้ไขอีเมลของผู้ใช้ได้ ทำให้มีความเสี่ยงที่นักโจมตีสามารถขโมยเนื้อหาอีเมลได้
Recommendations:
Short Term:
- ผู้ใช้งานควรตรวจสอบ Add-in ที่ติดตั้งอย่างสม่ำเสมอ โดยเฉพาะ Add-in ที่ไม่มีการอัปเดตนานแล้ว หรือมีพฤติกรรมน่าสงสัย
- เพิ่มความระมัดระวังในการป้อนข้อมูลประจำตัว โดยเฉพาะเมื่อถูกเปลี่ยนเส้นทางไปยังหน้าเข้าสู่ระบบ ตรวจสอบ URL อย่างละเอียดก่อนป้อนข้อมูล
- เปิดใช้งาน Multi-Factor Authentication (MFA) สำหรับบัญชี Microsoft และบัญชีสำคัญอื่นๆ เพื่อเพิ่มชั้นความปลอดภัย
- ตรวจสอบการแจ้งเตือนความปลอดภัยของบัญชี Microsoft สำหรับกิจกรรมที่น่าสงสัยเป็นประจำ
Long Term:
- สำหรับ Microsoft และผู้ให้บริการ Marketplace อื่นๆ: บังคับใช้การตรวจสอบซ้ำเมื่อ URL ของ Add-in ส่งคืนเนื้อหาที่แตกต่างไปจากที่ได้รับการอนุมัติครั้งแรก
- สำหรับ Microsoft และผู้ให้บริการ Marketplace อื่นๆ: ตรวจสอบความเป็นเจ้าของโดเมนเพื่อให้แน่ใจว่าได้รับการจัดการโดยนักพัฒนา Add-in และแจ้งเตือนหากโครงสร้างพื้นฐานโดเมนเปลี่ยนมือ
- สำหรับ Microsoft และผู้ให้บริการ Marketplace อื่นๆ: ใช้กลไกในการยกเลิกหรือติดธง Add-in ที่ไม่ได้รับการอัปเดตเป็นระยะเวลานาน
- สำหรับ Microsoft และผู้ให้บริการ Marketplace อื่นๆ: แสดงจำนวนการติดตั้งเพื่อประเมินผลกระทบที่อาจเกิดขึ้นจาก Add-in
- สำหรับนักพัฒนา: ไม่ควรทิ้งโดเมนที่เชื่อมโยงกับ Add-in หรือโปรเจกต์ที่ยังคงมีการอ้างอิงอยู่ใน Marketplace
- สำหรับนักพัฒนา: ดูแลความปลอดภัยของบัญชีแพลตฟอร์มที่ใช้โฮสต์เนื้อหาและไฟล์ Manifest อย่างเข้มงวด
- สำหรับองค์กร: ให้ความรู้แก่พนักงานเกี่ยวกับความเสี่ยงของการโจมตีแบบ Phishing ผ่าน Add-in และความสำคัญของการตรวจสอบ URL
- สำหรับองค์กร: ใช้โซลูชันการจัดการและตรวจสอบ Add-in เพื่อจำกัดความเสี่ยงจากการติดตั้ง Add-in ที่ไม่ได้รับอนุญาตหรือเป็นอันตราย
- สำหรับองค์กร: นำแนวทาง Zero Trust มาใช้เพื่อลดผลกระทบหากเกิดการละเมิดข้อมูลประจำตัว
Source: https://thehackernews.com/2026/02/first-malicious-outlook-add-in-found.html
Share this content: