Un componente aggiuntivo per Outlook, distribuito tramite lo store ufficiale di Microsoft Office e pubblicizzato come strumento per la pianificazione di meeting, è stato usato per sottrarre credenziali e dati sensibili. Ricercatori di una società di sicurezza hanno analizzato il meccanismo dell’attacco e documentato come un progetto abbandonato sia diventato una porta d’ingresso per campagne di phishing su larga scala.
La vicenda evidenzia la criticità dei permessi concessi alle estensioni e la facilità con cui un componente apparentemente innocuo può trasformarsi in un veicolo per il furto di account. L’articolo descrive il funzionamento dell’add-in, le evidenze raccolte dagli analisti e le misure consigliate per mitigare il rischio, sulla base delle informazioni disponibili.
Come era costruito e distribuito l’add-in
Gli analisti hanno descritto il meccanismo di distribuzione dell’add-in e i rischi connessi alla sua esecuzione remota. Il passaggio dal manifest al codice in esecuzione determina la principale criticità operativa.
L’add-in era pubblicato nello store di Office con un nome commerciale e raggiungeva gli utenti tramite un file di manifest XML firmato da Microsoft. Dopo l’installazione, il codice dell’add-in veniva scaricato dinamicamente dal server dello sviluppatore ogni volta che l’utente apriva l’applicazione.
Questa dinamica implica che il comportamento potesse cambiare senza ulteriori revisioni da parte dello store. Il manifest viene valutato solo all’inizio, mentre il codice remoto non subisce controlli continui.
Permessi e rischio operativo
Il modello operativo richiede che l’add-in dichiari permessi nel manifest per accedere a risorse dell’account e dell’ambiente.
Tali permessi, una volta concessi, permettono al codice remoto di operare con i privilegi indicati nel manifest.
Gli esperti hanno osservato che permessi ampi o non necessari aumentano il potenziale danno in caso di abuso. Un aggiornamento del codice remoto può estendere funzionalità malevoli senza un nuovo processo di valutazione dello store.
Tra le misure consigliate figurano la limitazione dei permessi al minimo necessario e il monitoraggio dei comportamenti anomali lato client e server. Ulteriori mitigazioni includono revisioni periodiche dei provider e l’adozione di policy di whitelisting per componenti terze.
Il componente aggiuntivo disponeva di permessi di lettura e scrittura sulle email, capacità che autorizzavano l’accesso ai contenuti, l’intercettazione delle comunicazioni e la modifica dei messaggi. Con tali autorizzazioni l’add-in poteva presentare schermate fasulle per carpire credenziali, intercettare dati sensibili e trasmetterli a server controllati dall’attaccante senza che l’utente ne fosse consapevole.
Un’estensione con funzionalità analoghe era stata rimossa in precedenza dalla galleria di un browser, mentre la versione destinata a Outlook è rimasta attiva fino alla segnalazione.
Come è avvenuto il furto di credenziali
Gli analisti descrivono un processo in più fasi. Prima l’add-in richiedeva permessi estesi nel manifest, quindi eseguiva codice in grado di sostituire interfacce legittime con schermate ingannevoli. In questo modo l’attaccante otteneva le credenziali inserite dall’utente, le memorizzava localmente e le esfiltrava verso infrastrutture esterne.
La disponibilità di privilegi di scrittura consentiva inoltre la modifica retroattiva dei messaggi, facilitando operazioni di social engineering persistente e la diffusione di ulteriori payload malevoli all’interno delle conversazioni aziendali. Tale meccanismo rendeva difficile individuare la compromissione senza controlli specifici sui log e sulle firme delle applicazioni.
Per mitigare rischi analoghi gli esperti raccomandano controlli sui permessi richiesti dai componenti, revisioni del codice attivo e policy di whitelisting su fonti fidate. Si attendono aggiornamenti dagli analisti e dai provider coinvolti per chiarire l’entità delle esfiltrazioni e le contromisure adottate.
Si conferma che, dopo l’abbandono del progetto da parte dello sviluppatore originale, il sottodominio legato all’add-in è stato rilevato e acquisito da soggetti malintenzionati. L’URL puntava a outlook-one.vercel.app, riconfigurato per erogare una falsa interfaccia di autenticazione. Gli utenti che aprivano l’add-in visualizzavano una schermata di login molto simile a quella ufficiale di Microsoft, studiata per indurre alla digitazione di email e password.
Esfiltrazione e automazione
Dai riscontri analitici risulta che le credenziali ottenute sono state impiegate per l’accesso automatizzato agli account compromessi. Tale procedura ha consentito l’estrazione sistematica di messaggi e allegati utilizzando script e processi automatizzati.
Per esfiltrazione si intende la copia o il trasferimento non autorizzato di dati da sistemi protetti verso infrastrutture sotto il controllo degli attaccanti. In questo caso gli strumenti automatizzati hanno permesso operazioni ripetute su larga scala senza intervento umano diretto.
Gli analisti stanno verificando l’entità delle informazioni trafugate e le possibili ricadute sui contatti e sulle comunicazioni sensibili. Si attendono ulteriori aggiornamenti dai provider coinvolti sulle contromisure adottate e sulle misure di mitigazione suggerite agli utenti interessati.
I dati raccolti attraverso la pagina fasulla venivano inoltrati automaticamente ai criminali mediante un bot di Telegram. Questa modalità consentiva l’accumulo rapido di grandi volumi di credenziali senza intervento manuale. I ricercatori hanno rilevato oltre 4.000 account compromessi. In alcuni casi sono emerse informazioni legate a strumenti di pagamento, inclusi numeri di carta di credito.
Impatto, reazione e raccomandazioni pratiche
A seguito della segnalazione, Microsoft ha rimosso l’add-in dallo store ufficiale. Tuttavia, la permanenza del componente per mesi evidenzia la difficoltà di mantenere una sorveglianza continua sulle integrazioni tra servizi cloud e client di posta. La situazione ha aumentato il rischio per account aziendali e personali che utilizzano componenti di terze parti.
Gli esperti consigliano pratiche di mitigazione consolidate. Tra queste figurano l’attivazione dell’autenticazione a più fattori, la verifica periodica dei permessi concessi agli add-on e la rotazione delle credenziali dopo sospetti di compromissione. Le organizzazioni sono invitate a monitorare i log di accesso e a isolare prontamente gli account coinvolti.
Le autorità competenti e i provider di servizi restano coinvolti per approfondire l’entità dell’attacco e per coordinare le contromisure tecniche. Gli utenti attendono ulteriori aggiornamenti dai provider sulle misure di mitigazione e sull’eventuale notifica ai soggetti interessati.
Utenti e amministratori interessati dall’incidente hanno l’obiettivo immediato di contenere la compromissione e proteggere gli account Microsoft. Il vettore dell’attacco ha coinvolto componenti aggiuntivi di posta che hanno consentito l’esfiltrazione di credenziali e dati sensibili, rendendo necessarie azioni coordinate per limitare i danni.
Prima di tutto, se si possiede l’add-in incriminato è necessario rimuoverlo immediatamente da Outlook. Successivamente, è imprescindibile cambiare tutte le password correlate all’account Microsoft e abilitare ogni forma di autenticazione a più fattori disponibile, come l’uso di chiavi hardware. Infine, monitorare estratti conto e attività sospette sui servizi collegati è una pratica indispensabile quando si sospetta una compromissione.
Lezioni e buone pratiche per il futuro
La vicenda evidenzia come la fiducia nello store ufficiale non debba essere sinonimo di immunità. È importante valutare con attenzione i permessi richiesti dai componenti aggiuntivi e limitare l’installazione alle estensioni necessarie. Per le organizzazioni, stabilire policy di sicurezza che limitino l’installazione di add-in o che richiedano una validazione interna può ridurre significativamente il rischio.
Proseguendo, si raccomanda l’adozione di misure tecniche immediate come l’applicazione regolare di aggiornamenti, l’impiego di soluzioni di protezione endpoint e l’implementazione di controlli per le applicazioni web che eseguono codice remoto. Inoltre, la condivisione tempestiva di indicazioni e segnalazioni da parte dei ricercatori ai fornitori di piattaforme ha dimostrato efficacia operativa: in questo caso ha consentito la rimozione dell’add-in compromesso e la mitigazione del danno per altri account interessati.
La combinazione di manifest firmati, esecuzione di codice remoto e permessi estesi può trasformare un componente apparentemente innocuo in uno strumento per il furto di credenziali.
