Une faille surprenante secoue la sécurité des utilisateurs d’Outlook. Le tout premier module malveillant ciblant cette messagerie a été découvert, subtilisant plus de 4 000 identifiants Microsoft. Ce coup de théâtre met en lumière des failles inattendues dans la gestion des add-ins Office.
Un add-in Outlook transformé en piège à mots de passe Microsoft
Le module incriminé, un add-in nommé AgreeTo, se présente comme un outil de gestion de calendriers. Officiellement délaissé depuis fin 2022, son domaine a été récupéré par un pirate pour y installer un faux portail de connexion Microsoft. Résultat : des milliers d’identifiants ont été subtilisés via ce stratagème.
Cette attaque de la chaîne d’approvisionnement, baptisée AgreeToSteal par la société Koi Security, exploite une porte dérobée bien connue dans les extensions logicielles. Les add-ins Office s’ouvrent ici à un nouveau risque bien réel, car ils fonctionnent en direct depuis un serveur tiers, rendant la surveillance délicate et parfois inefficace.
Pourquoi les add-ins Office sont-ils à risque ?
Les add-ins ne téléversent pas un code figé. Leur manifeste renvoie vers un URL dynamique chargé à chaque ouverture dans Outlook. Si l’adresse revient à un domaine abandonné ou racheté, le code et le contenu peuvent être modifiés sans contrôle immédiat.
La stratégie derrière AgreeTo est simple : profiter du délai entre l’abandon d’un projet par un développeur initial et la capacité de la plateforme à réagir aux changements. Dès que le domaine a échappé au contrôle légitime, le pirate a pu insérer un kit de phishing redirigeant vers la vraie page Microsoft après avoir volé les identifiants.
Des autorisations critiques pour un piratage en toute discrétion
L’add-in exploitait des droits de lecture et modification des emails (« ReadWriteItem »). Ce niveau d’accès pouvait permettre à un acteur malveillant de siphonner des boîtes mail complètes en silence. Heureusement, ce scénario ne s’est pas produit à grande échelle cette fois, mais le risque reste bien réel !
L’absence d’une surveillance continue de ce que le manifeste ouvre en direct dans Outlook dévoile une faille majeure. Microsoft effectue une revue au moment de la publication, mais ne revient pas scruter le contenu dynamique hébergé sur des serveurs tiers. C’est exactement cette faille qui a permis à AgreeTo de changer de masque.
Comment limiter ce type d’attaque ?
La société Koi Security suggère plusieurs mesures pour limiter ces risques. Le plus évident serait une revérification automatique si le contenu servi par l’URL change après approbation. Vérifier que le domaine appartient encore au développeur original est aussi primordial.
Une autre idée serait de retirer ou signaler les add-ins non mis à jour depuis longtemps. Enfin, afficher le nombre d’installations aiderait à jauger l’impact potentiel d’un module avant qu’il ne fasse des dégâts.
Source: thehackernews.com
