'Vierduizend wachtwoorden via gekaapte Microsoft Outlook add-in gestolen'
Een aanvaller is erin geslaagd om via een gekaapte Microsoft Outlook add-in de inloggegevens van vierduizend Microsoft-accounts te stelen. Dat stelt securitybedrijf Koi Security in een analyse. Outlook add-ins zijn uitbreidingen die extra functionaliteit aan Outlook toevoegen. Ze zijn via de Microsoft Marketplace te downloaden.
In tegenstelling tot extensies waarbij gebruikers software op hun systeem installeren, zijn add-ins eigenlijk url's. Een ontwikkelaar die zijn add-in in de Microsoft Marketplace wil hebben biedt Microsoft een XML-bestand. Dit bestand zorgt ervoor dat er via een iframe een url binnen Outlook wordt geladen. Microsoft controleert en signeert de add-in en voegt die vervolgens toe aan de Microsoft Marketplace. De daadwerkelijke inhoud van de add-in staat echter op de server van de ontwikkelaar en wordt elke keer live opgehaald als de add-in wordt geopend.
In 2022 verscheen de add-in AgreeTo, waarmee gebruikers kalenders van werk en privé op één plek kunnen samenvoegen, om zo meetings en andere afspraken te plannen. Naast de Outlook add-in kende AgreeTo ook een Google Chrome-extensie. Deze extensie ontving in mei 2023 de laatste update en ook de domeinnaam van AgreeTo verliep. De add-in bleef echter wel in de Microsoft Marketplace staan, met een url die naar een verlopen domeinnaam wees.
Een aanvaller registreerde de verlopen domeinnaam en besloot vervolgens om via de add-in een Microsoft-phishingpagina, een pagina voor het verzamelen van wachtwoorden, een script voor het doorsturen van de gestolen data en een redirect bij gebruikers van AgreeTo te laden. Omdat de add-in al door Microsoft was gecontroleerd hoefden de aanvallers geen nieuwe controle te ondergaan.
Gebruikers van de gekaapte add-in kregen bij het laden vervolgens een phishingpagina te zien die om de inloggegevens van hun Microsoft-account vroeg. De gestolen data werd vervolgens naar een remote server gestuurd. Die was volgens de onderzoekers niet goed beveiligd, waardoor ze konden achterhalen dat meer dan vierduizend mensen hun inloggegevens hadden ingevuld.
Verder bleek dat de aanvallers zich ook met andere phishingaanvallen bezighielden. Microsoft heeft de add-in inmiddels verwijderd. De onderzoekers waarschuwen dat add-ins dynamische 'dependencies' zijn, waarvan de inhoud op elk moment kan veranderen. Daardoor zijn eenmalige controles niet voldoende, zo stellen ze.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Manager IT/OT
Als Information Security Manager IT/OT zorg jij ervoor dat informatiebeveiliging binnen onze IT- en OT-omgevingen niet alleen op papier klopt, maar aantoonbaar werkt in de uitvoering. Je richt je op het veilig en betrouwbaar functioneren van operationele processen en draagt bij aan een volwassen, risicogestuurde be-veiliging van onze vitale infrastructuur.
Security Analist IT/OT
Als Security Analist IT/OT draag jij bij aan het verder professionaliseren van onze digitale weerbaarheid. Je bewaakt da-gelijks de veiligheid van onze IT- en OT-omgevingen en zorgt ervoor dat risico’s tijdig worden gesignaleerd en opgevolgd. Zo help je mee om vitale processen rondom water en onze kantoorauto-matisering betrouwbaar en veilig te laten functioneren.
Security Architect IT/OT
Als Security Architect IT/OT geef jij richting aan de technische en architec-tonische inrichting van veilige IT- en OT-omgevingen. Je vertaalt bestaand beleid en wet- en regelgeving naar concrete, uitvoerbare ontwerpprincipes en bewaakt de samenhang tussen techniek, organi-satie en risico’s.
