Accepter le module complémentaire malveillant Outlook
Des chercheurs en cybersécurité ont découvert ce qui semble être le premier module complémentaire malveillant connu pour Microsoft Outlook détecté en conditions réelles. Cette campagne, baptisée AgreeToSteal, représente une attaque inédite et inquiétante ciblant la chaîne d'approvisionnement et exploitant la confiance accordée à l'écosystème des modules complémentaires Microsoft Office.
Lors de cet incident, un acteur malveillant a détourné le domaine associé à un module complémentaire Outlook abandonné mais légitime. En réutilisant l'infrastructure obsolète, l'attaquant a déployé une fausse page de connexion Microsoft et a réussi à récupérer les identifiants de plus de 4 000 utilisateurs.
Cette découverte marque une nouvelle phase dans les menaces pesant sur la chaîne d'approvisionnement via les places de marché, ciblant cette fois-ci les logiciels de productivité d'entreprise à leur cœur même.
Table des matières
D’outil de productivité à vecteur de phishing
Le module complémentaire compromis, appelé AgreeTo, avait été initialement conçu pour aider les utilisateurs à regrouper plusieurs calendriers et à partager leurs disponibilités par courriel. Sa dernière mise à jour remonte à décembre 2022.
Contrairement aux campagnes de distribution de logiciels malveillants classiques, cette attaque n'a pas exploité de vulnérabilité du code source. Elle a plutôt tiré parti d'une faille structurelle dans le fonctionnement des compléments Office. Les chercheurs la classent comme une variante d'attaques déjà observées, affectant les extensions de navigateur, les paquets npm et les plugins d'IDE, des canaux de distribution de confiance où le contenu approuvé peut être modifié ultérieurement sans attirer l'attention.
Les modules complémentaires d'Office présentent un risque accru en raison de plusieurs facteurs cumulatifs :
- Elles s'exécutent directement dans Outlook, où sont gérées les communications hautement sensibles.
- Ils peuvent demander des autorisations étendues, notamment la possibilité de lire et de modifier les courriels.
- Ils sont distribués via la boutique officielle de Microsoft, bénéficiant ainsi d'une confiance implicite de la part des utilisateurs.
L'affaire AgreeTo met en lumière une réalité cruciale : le développeur initial n'a commis aucune faute. Un produit légitime a été créé, puis abandonné. L'attaque a exploité le manque de surveillance entre l'abandon du projet et la plateforme de distribution.
Exploiter l’architecture des compléments Office
L'incident trouve son origine dans la conception des compléments Office. Les développeurs soumettent leurs compléments via le Centre de partenaires Microsoft, où la solution est examinée et approuvée. Or, cette approbation repose principalement sur un fichier manifeste, et non sur un package de code statique.
Les compléments Office diffèrent fondamentalement des logiciels classiques. Au lieu de distribuer un code source unique, le fichier manifeste spécifie une URL. Chaque fois que le complément est ouvert dans Outlook, l'application récupère le contenu en direct à partir de cette URL et l'affiche dans une iframe.
Ce modèle architectural présente une faille critique : une fois approuvé et signé, le module complémentaire continue de charger en temps réel le contenu servi par l’URL référencée. Si le contrôle de cette URL change, suite à l’expiration du domaine ou à l’abandon de l’infrastructure, du contenu malveillant peut être introduit sans que le manifeste signé soit modifié.
Dans le cas d'AgreeTo, le manifeste référençait une URL hébergée par Vercel (outlook-one.vercel[.]app). Après la suppression du déploiement du développeur et l'abandon du projet vers 2023, l'URL est devenue accessible. Un attaquant s'en est emparé alors que l'extension restait disponible sur le Microsoft Store.
Au moment de la rédaction de ce rapport, l'infrastructure reste active.
Exécution de phishing et exfiltration d’identifiants
Après avoir pris le contrôle du déploiement abandonné, l'attaquant a hébergé un kit de phishing à l'URL indiquée. Le contenu malveillant affichait une fausse page de connexion Microsoft conçue pour dérober les identifiants des utilisateurs.
Les mots de passe capturés ont été exfiltrés via l'API du bot Telegram. Les victimes étaient ensuite redirigées vers la page de connexion Microsoft officielle, ce qui réduisait les soupçons et augmentait les chances de réussite du vol d'identifiants.
Bien que l'activité observée se soit concentrée sur la collecte d'identifiants, les chercheurs avertissent que l'impact aurait pu être bien plus grave. Le module complémentaire était configuré avec les autorisations ReadWriteItem, permettant ainsi de lire et de modifier les courriels des utilisateurs. Un acteur malveillant plus agressif aurait pu déployer du code JavaScript capable d'exfiltrer discrètement le contenu des boîtes aux lettres, créant ainsi un puissant vecteur d'espionnage au sein des environnements d'entreprise.
Un déficit de surveillance du marché aux implications plus larges
Microsoft examine les manifestes des modules complémentaires lors de la soumission initiale, mais aucune validation continue du contenu diffusé par les URL référencées n'est effectuée après approbation. Cela crée une faille de confiance structurelle : le manifeste est signé une seule fois, mais le contenu distant auquel il fait référence peut être modifié indéfiniment.
Le module complémentaire AgreeTo a été signé en décembre 2022. Bien que le contenu original fût légitime au moment de son approbation, la même URL sert désormais de kit d'hameçonnage, et le module complémentaire reste disponible sur la boutique.
Ce problème dépasse le cadre de l'écosystème Microsoft. Toute plateforme qui approuve une soumission une seule fois, sans surveillance continue des dépendances dynamiques distantes, est exposée à des risques similaires. La faiblesse structurelle est la même pour toutes les plateformes : une approbation unique, une confiance aveugle.
Mesures d’atténuation stratégiques pour réduire les risques liés au marché
Pour remédier aux faiblesses systémiques mises en évidence par AgreeToSteal, les experts en sécurité recommandent plusieurs contre-mesures :
- Déclencher des réexamens automatiques lorsqu'une URL référencée par un module complémentaire commence à diffuser un contenu sensiblement différent de celui initialement examiné.
- Mettre en œuvre une validation de la propriété du domaine pour confirmer que l'infrastructure reste sous le contrôle du développeur et signaler les modules complémentaires lorsque la propriété de l'hébergement change.
- Mettre en place des mécanismes pour retirer les modules complémentaires des listes déroulantes ou avertir les utilisateurs à leur sujet, si ces modules n'ont pas été mis à jour dans les délais impartis.
- Afficher le nombre d'installations pour aider à évaluer l'exposition et l'impact potentiel.
Un suivi continu du contenu en direct, plutôt que de se fier uniquement à l'approbation statique des manifestes, est essentiel pour atténuer les risques liés à la chaîne d'approvisionnement dans les écosystèmes de vulgarisation modernes.
Un signal d’alarme pour les modèles de confiance à dépendance dynamique
La campagne AgreeToSteal illustre un défi fondamental des modèles de distribution de logiciels actuels. Les modules complémentaires Office, les extensions de navigateur et autres outils similaires hébergés sur les plateformes de distribution dépendent fréquemment de contenus distants et servis dynamiquement.
Sans analyses périodiques et surveillance comportementale, les applications de confiance peuvent se transformer silencieusement en vecteurs d'attaque.
Cette affaire sert d'avertissement aux opérateurs de plateformes et aux responsables de la sécurité des entreprises : la confiance doit être validée en permanence, en particulier lorsque des infrastructures distantes et des dépendances dynamiques sont impliquées.
