Le tout premier complément malveillant connu a contourné un processus de vérification faible avec un simple piratage d’URL.
Un point aveugle dans la sécurité du marché des applications et des compléments de Microsoft a permis à un pirate informatique aux yeux d’aigle de détourner un complément Outlook abandonné pour mener des attaques de phishing qui ont compromis 4 000 utilisateurs, ont découvert des chercheurs.
L’application en question, AgreeTo, est, ou était, un outil de planification de réunions apparu pour la première fois en 2022, mais abandonné par son développeur à un moment donné. Malgré cela, le complément a continué à être répertorié sur le site de Microsoft.
Un pirate informatique a remarqué le changement de son statut et a détourné le complément mort et sa note de 4,71 étoiles pour mener une campagne de phishing dont la société qui a découvert l’attaque, la société de sécurité des plug-ins Koi Security, a découvert plus tard qu’elle avait réussi à voler des milliers d’identifiants de compte Microsoft.
Était-ce une prise de contrôle intelligente par un attaquant sophistiqué ? En fait, selon Koi Security, le détournement a été facile, grâce aux faiblesses du processus par lequel les développeurs soumettent des compléments au marché de Microsoft.
La soumission d’un complément à Microsoft implique simplement l’envoi d’un simple manifeste XML répertoriant le nom et la description du complément, l’URL à partir de laquelle il est téléchargé et toutes les autorisations dont il a besoin.
Aucun code n’est téléchargé pour évaluation. Le manifeste d’AgreeTo est simplement lié à une URL de sous-domaine, hébergée sur la plateforme de développement Vercel, à partir de laquelle les utilisateurs téléchargent le logiciel.
« Microsoft examine le manifeste, le signe et répertorie le complément dans son magasin. Mais le contenu réel – l’interface utilisateur, la logique, tout ce avec lequel l’utilisateur interagit – est récupéré en direct depuis le serveur du développeur à chaque fois que le complément s’ouvre », ont déclaré les chercheurs de Koi Security.
URL orpheline
En récupérant le sous-domaine abandonné, l’attaquant a pris le contrôle de l’URL pointée dans le manifeste d’origine. Ce contenu a été remplacé par une nouvelle URL pointant vers un kit de phishing comprenant une fausse page de connexion Microsoft pour la collecte de mots de passe, un script d’exfiltration et une redirection. Le manifeste d’origine accordait également à l’attaquant l’autorisation de lire et de modifier les e-mails.
« Ils n’ont rien soumis à Microsoft. Ils n’étaient pas tenus de passer un examen. Ils n’ont pas créé de liste de magasins. La liste existait déjà – révisée par Microsoft, signée par Microsoft, distribuée par Microsoft. L’attaquant a simplement revendiqué une URL orpheline, et l’infrastructure de Microsoft a fait le reste », a déclaré Koi Security.
Les informations d’identification hameçonnées et les adresses IP des victimes ont été automatiquement envoyées à l’attaquant via un simple robot Telegram, sans nécessiter de commande et de contrôle complexes, a déclaré Koi Security.
Les chercheurs ont pu pénétrer dans cette infrastructure et découvrir que 4 000 victimes étaient tombées dans le piège du phishing de l’attaquant ; tous ont ensuite été contactés par Koi Security pour les avertir que leurs informations d’identification avaient été compromises.
Il a été découvert que le même attaquant utilisait 12 kits de phishing différents se faisant passer pour divers banques et fournisseurs de messagerie Web, a ajouté Koi Security. Les données volées sur ces sites comprenaient des numéros de carte de crédit, des CVV, des codes PIN et des réponses de sécurité bancaire utilisés par les destinataires pour recevoir les paiements effectués via le système de Virement électronique Interac, ainsi que des identifiants de mot de passe.
La faiblesse révélée par le détournement d’AgreeTo est l’architecture de livraison des compléments de Microsoft ; il distribue simplement une URL simple et potentiellement peu fiable. Pour cette raison, a souligné Koi Security, « un complément qui est propre lundi peut servir une page de phishing mardi – ou, comme dans ce cas, des années plus tard. Microsoft examine le manifeste lors de sa soumission, mais le contenu réel peut changer à tout moment sans examen supplémentaire. «
Ironiquement, la faille a été identifiée dès 2019 par une autre société de sécurité, MDSec. AgreeTo est considéré comme le premier complément Outlook malveillant jamais découvert sur le Microsoft Marketplace, ce qui pourrait expliquer pourquoi une vérification plus approfondie des URL n’a pas été mise en œuvre après cette recherche.
Depuis le 12 février, le complément AgreeTo n’est plus disponible sur Microsoft Marketplace. Il est conseillé à toute personne utilisant encore AgreeTo de le supprimer dès que possible et de réinitialiser les mots de passe de son compte Microsoft.
Une extension AgreeTo distincte pour Chrome a cessé de fonctionner en 2024 ; Google l’a supprimé en février 2025.
