'Vierduizend wachtwoorden via gekaapte Microsoft Outlook add-in gestolen'

In dit artikel:

Securitybedrijf Koi Security ontdekte dat een aanvaller via een gekaapte Outlook-add-in de inloggegevens van ruim 4.000 Microsoft-accounts heeft buitgemaakt. De add-in, AgreeTo (uitgebracht in 2022), stond in de Microsoft Marketplace; de extensie zelf laadt echter live content vanaf een ontwikkelaarsdomein via een iframe. Nadat de domeinnaam van AgreeTo verlopen was — de bijbehorende Chrome-extensie kreeg in mei 2023 de laatste update — registreerde een kwaadwillende die verlopen naam opnieuw. Zonder nieuwe keuring door Microsoft kon de aanvaller via de bestaande add-in een Microsoft-phishingpagina, een script om gegevens door te sturen en een redirect injecteren.

Gebruikers van AgreeTo kregen bij gebruik een valse inlogpagina te zien; ingevulde gegevens werden naar een extern, slecht beveiligd serverlog gestuurd, waardoor onderzoekers konden vaststellen dat meer dan 4.000 accounts zijn gecompromitteerd. Microsoft heeft de add-in verwijderd. Koi Security waarschuwt dat add-ins dynamische dependencies hebben waarvan inhoud op elk moment kan veranderen, zodat een eenmalige controle onvoldoende is. Extra mitigaties zoals actief beheer van add-ins, continue monitoring en het toepassen van multi-factor-authenticatie verkleinen het risico.