Gekapertes Outlook-Add-in:
Datendieb kommt über den Microsoft Store

Ein offiziell über den Microsoft Store verfügbares Outlook-Add-in ist zur Falle für Nutzer geworden: Das Kalender-Tool "AgreeTo" wurde von Unbekannten gekapert und in ein Phishing-Werkzeug ver­wan­delt, das nun Nutzerdaten stiehlt.

Terminplaner manipuliert

Das meldet das Online-Magazin Bleeping Computer. Ursprünglich galt das Add-in als legitime Lösung zur Terminplanung in Outlook und war seit Dezember 2022 über den Microsoft Marketplace erhältlich.

Technisch funktionieren Office-Add-ins so, dass sie nur als Verweise auf externe Webinhalte dienen, die aus der Infrastruktur der Entwickler geladen werden. Im Fall von AgreeTo war dies eine bei Vercel gehostete URL, die der ursprüngliche Entwickler irgendwann aufgab - das Add-in blieb jedoch im Store gelistet.

Ein Angreifer soll sich diese verwaiste Adresse gesichert und dort ein komplettes Phishing-Set installiert haben, inklusive gefälschter Microsoft-Anmeldeseite, Passwort-Sammelseite, Skripten zur Datenexfiltration und einem anschließenden Redirect.

Wie die Sicherheitsfirma Koi Security gegenüber BleepingComputer für diesen Sicherheitsvorfall erläuterte, lädt ein einmal freigeschaltetes Add-in seine Oberfläche und Logik vollständig von der Serveradresse aus, die im Manifest hinterlegt ist. Eine nachträgliche technische Prüfung durch Microsoft findet nach der Signierung nicht statt. Da AgreeTo bereits geprüft war, konnten die nun vom Angreifer kontrollierten Inhalte ohne weitere Kontrolle auf den Nutzer-PC ausgeführt werden.


Aktuell geht man von rund 4000 erbeuteten Microsoft-Kontozugangsdaten aus, wobei vermutlich auch Kreditkartennummern und Antworten auf Sicherheitsfragen von Banken mit erbeutet wurden. Dieses Ausmaß klingt erst einmal nicht nach einem großen Problem, zeigt jedoch die generelle Schwachstelle der Einmal-Prüfung durch Microsoft auf. Inwieweit sich viele ähnliche schwarze Schafe im Store oder Marketplace tummeln, ist nicht bekannt. Das Add-in wurde inzwischen von Microsoft entfernt.

So funktionierte der Datendiebstahl

Für Betroffene sah der Angriff täuschend echt aus: Wer AgreeTo in Outlook öffnete, bekam statt der gewohnten Planungsoberfläche eine Microsoft-Anmeldemaske in der Seitenleiste präsentiert, die sich optisch kaum von einem legitimen Login unterscheidet. Die eingegebenen Daten wurden per Telegram Bot weitergeleitet, bevor die Opfer auf die echte Microsoft-Login-Seite umgeleitet wurden.

Brisant ist auch, dass AgreeTo weiterhin über die Berechtigung "ReadWriteItem" verfügte, die grundsätzlich das Lesen und Ändern von E-Mails erlaubt. Konkrete Hinweise darauf, dass diese Rechte aktiv zum E-Mail-Zugriff genutzt wurden, liegen Koi Security allerdings nicht vor.

Wie geht ihr mit Add-ins aus offiziellen Stores um - volles Vertrauen oder prüft ihr Berechtigungen und Herkunft inzwischen genauso kritisch wie bei jeder anderen Software?


Siehe auch: