Giriş
Kötü niyetli yazılımcılar, ilk kez gerçek kullanımda tespit edilen bir Microsoft Outlook eklentisi aracılığıyla siber saldırı gerçekleştirdi. Bu durum, güvenlik açıklarının daha geniş bir alanda artış gösterdiğini ve kullanıcıların hassas bilgilerini hedef alacak yeni tehditler karşısında dikkatli olmaları gerektiğini ortaya koyuyor.
Saldırı Nasıl Çalışıyor?
Koi Security tarafından detaylandırılan bu saldırıda, bilinmeyen bir saldırgan, artık kullanılmayan bir eklentinin alan adını ele geçirerek sahte bir Microsoft giriş sayfası oluşturdu. Bu süreçte 4.000’den fazla kullanıcı kimliği çalındı ve saldırı, AgreeToSteal kod adıyla anıldı. Söz konusu eklenti, AgreeTo, kullanıcıların farklı takvimleri tek bir yerde toplamasını ve e-posta aracılığıyla uygunluk durumlarını paylaşmasını sağlamak amacıyla geliştirilmiştir. En son Aralık 2022‘de güncellenmiştir.
Idan Dardikman, Koi’nin kurucu ortağı ve CTO’su, bu olayın tedarik zinciri saldırı vektörlerinin genişlemesi anlamına geldiğini belirtti. Bu tür saldırılar, güvenilir dağıtım kanallarında, içerik onaylandıktan sonra değişiklik yapabilme yeteneği ile ortaya çıkmaktadır. Office eklentilerinin özellikle tehlikeli olmasının birkaç nedeni vardır:
- Outlook içinde çalışırlar, kullanıcıların en hassas iletişimlerini yönettikleri alandır.
- E-postaları okumak ve değiştirmek için yetki talebinde bulunabilirler.
- Microsoft’un kendi mağazasından dağıtılmaları, kullanıcıların eklentilere güven duymasına neden olmaktadır.
Etkilenen Sistemler
Saldırıdan etkilenen sistem, AgreeTo eklentisi üzerinden gerçekleştirildi. Eklentinin manifest dosyası, kullanıcının her açılışında geliştiricinin sunucusundan gerçek zamanlı olarak içerik çeker. Ancak, kötü niyetli kişiler, süresi dolmuş bir alan adını ele geçirip bu davranıştan yararlanabilir.
AgreeTo eklentisinin manifest dosyası, outlook-one.vercel.app adresine yönlendirme yapıyordu. Geliştiricinin eklentisi 2023 itibarıyla terk edildiğinde, alan adı kötü niyetli bir saldırgan tarafından ele geçirildi. Saldırgan, bu URL üzerinde sahte bir Microsoft giriş sayfası oluşturarak şifreleri çalmış, giriş bilgilerini Telegram Bot API üzerinden dışarıya aktarmış ve kurbanları gerçek Microsoft giriş sayfasına yönlendirmiştir.
Saldırının daha kötü bir duruma dönüşme potansiyeli bulunmaktadır. Zira, eklenti ReadWriteItem izinleri ile yapılandırılmıştır; bu da potansiyel bir saldırganın JavaScript kullanarak kurbanın e-posta içeriğini gizli olarak çalmalarını mümkün kılabilir.
Çözüm ve Korunma
Bu tür güvenlik ihlallerinin önüne geçmek için aşağıdaki önlemler alınmalıdır:
- Bir eklentinin URL’si, inceleme sırasında farklı içerikler döndürmeye başladığında yeniden bir inceleme tetiklenmelidir.
- Eklenti geliştiricisinin alan adı sahipliği doğrulanmalıdır, böylece alan adı değiştiğinde eklentiler işaretlenmelidir.
- Belli bir süre güncellenmemiş eklentilerin listeden çıkarılmasına yönelik bir mekanizma uygulanmalıdır.
- Yükleme sayıları, etki değerlendirmesi için gösterilmelidir.
Son olarak, Microsoft’a önerilerde bulunulmuştur, ancak sorunun yalnızca Microsoft Marketplace veya Office Store ile sınırlı olmadığı unutulmamalıdır; benzer yapısal sorunlar, tüm dinamik bağımlılıkları barındıran pazarlarda mevcuttur.
Sonuç
Kullanıcıların, yazılımlarını güncellemeleri ve güvenlik izinlerini değerlendirmeleri kritik öneme sahiptir. Eklenti veya diğer yazılımları kullanmadan önce, bu kaynakların güvenilirliğini mutlaka kontrol edin. Ayrıca, portları kapatmak ve gereksiz erişim izinlerini sınırlandırmak, siber saldırılara karşı alabileceğiniz etkili önlemler arasında yer almaktadır.
