HackerNews 编译，转载请注明出处： 网络安全研究人员发现了首个在真实环境中监测到的恶意微软 Outlook 插件。 在 Koi 安全公司披露的这起非常规供应链攻击中，未知攻击者认领了与一款已弃用的合法插件关联的域名，用于投放伪造微软登录页面，在此过程中窃取了超 4000 条用户凭据。该网络安全公司将此次攻击活动代号定为 AgreeToSteal。 涉事 Outlook 插件名为 AgreeTo，开发者宣传其可帮助用户在同一平台整合不同日历，并通过邮件共享日程可用性。该插件最后一次更新时间为 2022 年 12 月。 Koi 公司联合创始人兼首席技术官 Idan Dardikman 表示，此次事件标志着供应链攻击向量的进一步扩大。 Dardikman 称：“这类攻击与我们在浏览器扩展、npm 包、IDE 插件中见到的属于同一类型：依托受信任的分发渠道，内容却可在审核通过后被篡改。” “Office 插件之所以格外令人担忧，是多重因素叠加所致：插件运行在用户处理最高敏感通信的 Outlook 内，可申请读写与修改邮件的权限，且通过微软官方应用商店分发，自带天然信任属性。” “AgreeTo 事件还带来了新的问题维度：原开发者并无任何过错，他们开发了合法产品后便不再维护。攻击利用了开发者弃用项目与平台察觉之间的时间差。所有托管远程动态依赖项的应用商店都存在此类风险。” 该攻击的核心是利用了 Office 插件的运行机制，以及应用商店对已上架插件缺乏定期内容监控的漏洞。 根据微软官方文档，插件开发者需创建账号并将产品提交至合作伙伴中心，随后通过审核流程方可上架。 此外，Office 插件依赖清单文件声明 URL，每次在应用内的内嵌框架中打开插件时，都会从开发者服务器实时拉取并展示对应内容。但现有机制无法阻止恶意分子接管已过期的域名。 在 AgreeTo 事件中，插件清单文件指向一个托管在 Vercel 平台的 URL（outlook-one.vercel.app），该插件约 2023 年成为弃用软件，开发者删除 Vercel 部署后，该域名便可被他人认领。截至本文撰写时，该恶意基础设施仍在运行。 攻击者利用这一机制在该 URL 上架设钓鱼工具包，展示伪造的微软登录页面，捕获用户输入的密码，通过电报机器人 API 窃取信息，最终将受害者重定向至真实的微软登录页面。 但 Koi 公司警示称，此次事件本可能造成更严重的后果。 鉴于该插件配置了 “读写项目” 权限，可读写并修改用户邮件，威胁行为者本可利用这一防御盲区部署 JavaScript 代码，隐秘窃取受害者邮箱内容。 该发现再次凸显出对应用商店与代码仓库中上传的程序包和工具进行重新扫描、标记恶意 / 可疑行为的必要性。 Dardikman 表示，微软仅在插件初次提交时审核清单文件，一旦通过签名审核，便无法管控插件每次打开时从开发者服务器实时拉取的实际内容。因此，对 URL 实际加载内容缺乏持续监控，为非预期的安全风险埋下了隐患。 Dardikman 补充道：“Office 插件与传统软件有着本质区别。” “它们不搭载静态代码包，清单文件仅声明一个 URL，而该 URL 在任意时刻加载的内容，都会直接在 Outlook 中运行。” 在 AgreeTo 事件中，微软于 2022 年 12 月对清单文件完成签名，指向 outlook-one.vercel.app。如今该 URL 正投放钓鱼工具包，而插件仍在应用商店中上架。 为应对该威胁引发的安全问题，Koi 公司向微软提出多项整改建议： ·     当插件 URL 返回内容与审核时不一致时，触发重新审核。 ·     验证域名所有权，确保由插件开发者管理，并标记域名基础设施已变更归属的插件。 ·     建立机制，对超过一定时长未更新的插件进行下架或标记处理。 ·     展示插件安装量，用于评估影响范围。 值得注意的是，此类问题并非仅存在于微软应用商店或 Office 应用商店。 上月，Open VSX 宣布计划在微软 VS Code 扩展程序上架开源仓库前强制执行安全检测。微软 VS Code 应用商店也会对仓库中的所有程序包进行定期批量重新扫描。 Dardikman 称：“所有托管远程动态依赖项的应用商店都存在相同的结构性问题：一次审核，永久信任。” “各平台的具体机制虽有不同，但只要应用商店仅在提交时审核清单文件，却不监控后续关联 URL 的实际加载内容，就会存在催生 AgreeTo 这类攻击的核心漏洞。”       消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Elastic Security Labs 在对 REF7707 入侵组织的最近调查中发现了一个新的恶意软件家族，该家族利用 Microsoft Outlook 草稿通过 Microsoft Graph API 作为隐蔽通信渠道。这个被命名为 FINALDRAFT 的后利用工具包包括一个加载器、一个后门以及多个为高级网络间谍活动设计的子模块。 Elastic 团队发现了该恶意软件的 Windows 和 Linux 版本，证据表明其经过了长期开发和重大的工程努力。“工具的完整性和涉及的工程水平表明开发者组织严密，”Elastic Security Labs 指出，并补充说，“行动的长时间跨度和我们的遥测数据表明，这很可能是一场以间谍活动为导向的运动。” FINALDRAFT 恶意软件通过 PATHLOADER 部署，PATHLOADER 是一个轻量级的 Windows PE 可执行文件（206 KB），作为第一阶段加载器。它从攻击者控制的基础设施下载 AES 加密的 shellcode，解密后在内存中执行。恶意软件通过 API 哈希、混淆和沙箱逃避技术避免静态分析。 Elastic Security Labs 强调，PATHLOADER 的嵌入式配置包括两个拼写错误的域名，模仿安全厂商： poster.checkponit[.]com（模仿 Check Point） support.fortineat[.]com（模仿 Fortinet） 这种欺骗性策略旨在逃避检测，并将恶意流量与合法的安全厂商活动混合。 FINALDRAFT 是一个用 C++ 编写的 64 位恶意软件，重点在于数据窃取和进程注入。它通过加载加密配置、生成会话 ID 并通过 Outlook 草稿与命令与控制（C2）服务器交互来运行。 “FINALDRAFT 与 C2 通信使用的会话 ID 是通过创建一个随机 GUID，然后使用 Fowler-Noll-Vo（FNV）哈希函数处理生成的，”报告解释道。 FINALDRAFT 的一个显著特点是能够利用 Outlook 的邮件草稿作为 C2 通道。恶意软件不是通过直接网络通信，而是： 如果尚不存在，则创建一个会话草稿邮件。 读取并删除由攻击者生成的命令请求草稿。 执行命令，如进程注入、文件操作和网络代理。 将响应写入草稿邮件，确保攻击者可以在不引发警报的情况下获取结果。 这种方法最大限度地减少了网络流量痕迹，使传统安全解决方案的检测难度显著增加。 FINALDRAFT 包括 37 个命令处理器，允许其执行进程注入、TCP/UDP 代理、文件操作和权限提升。值得注意的是，恶意软件的进程注入技术依赖于 VirtualAllocEx、WriteProcessMemory 和 RtlCreateUserThread API 调用。 “目标进程要么是作为命令参数提供的可执行路径，要么默认为 mspaint.exe 或 conhost.exe 作为备用，”报告指出。 除了 Windows 功能外，还发现了一个 ELF 版本的 FINALDRAFT，支持多种超出 Outlook 草稿的 C2 传输协议，包括： HTTP/HTTPS 反向 UDP ICMP 和绑定 TCP 反向 TCP 和 DNS 这表明 FINALDRAFT 具有跨平台适应性，使其成为攻击者针对 Windows 和 Linux 环境的多功能工具。 Elastic Security Labs 强烈怀疑 FINALDRAFT 是更大规模间谍活动的一部分。恶意软件的复杂设计、持久性技术和对隐蔽通信方法的依赖表明，其背后有一个资金充足且能力强大的对手。 安全研究人员敦促组织监控 Outlook API 活动，实施强大的终端检测解决方案，并阻止已知的 C2 域名，以降低风险。   消息来源：Security Online；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）周四警告美国联邦机构，需防范针对微软 Outlook 关键远程代码执行（RCE）漏洞的攻击。 该漏洞由 Check Point 的漏洞研究人员 Haifei Li 发现，编号为 CVE-2024-21413，CVSS 评分为 9.8。漏洞源于在使用易受攻击的 Outlook 版本打开包含恶意链接的电子邮件时，未正确验证输入。 攻击者利用此漏洞可以绕过受保护视图（Protected View），以编辑模式而非只读模式打开恶意 Office 文件，从而获得远程代码执行能力。微软在一年前修补了该漏洞，并警告称即使在预览恶意构建的 Office 文档时，预览窗格也是一个攻击向量。 Check Point 解释称，这一安全漏洞（代号为 Moniker Link）允许威胁行为者绕过 Outlook 对电子邮件中嵌入的恶意链接的内置保护，方法是使用 file:// 协议并在指向攻击者控制的服务器的 URL 中添加感叹号。 CISA 已将该漏洞添加到其已知被利用漏洞（KEV）目录中，并根据强制性业务指令（BOD）22-01，要求联邦机构在 2 月 27 日前的三周内确保其网络的安全。 “这类漏洞是恶意网络行为者频繁利用的攻击向量，对联邦企业构成重大风险，”该网络安全机构警告。 虽然 CISA 主要关注提醒联邦机构尽快修补这些漏洞，但私营组织也被建议优先修补这些漏洞，以阻止正在进行的攻击。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

发现该漏洞的研究人员 Morphisec 警告说，微软在2024 年 6 月补丁日更新中解决的一个漏洞可能会被利用来实现无需用户交互的远程代码执行 (RCE)。 微软在其公告中表示，该安全漏洞编号为CVE-2024-30103（CVSS 评分为 8.8），可让攻击者绕过 Outlook 注册表阻止列表并创建恶意 DLL 文件。 微软安全公告指出：“预览窗格是一种攻击媒介”，并补充说攻击复杂性较低，并且可以通过网络进行利用。Outlook 2016、Office LTSC 2021、365 Apps for Enterprise 和 Office 2019 均受到影响。 尽管微软将该漏洞评定为“重要”，但发现该漏洞的 Morphisec 研究员却认为该漏洞为“危急”，并警告称攻击者可能很快就会开始利用该漏洞，因为它不需要用户交互。 “相反，当受影响的电子邮件被打开时，执行就开始了。这对于使用 Microsoft Outlook 自动打开电子邮件功能的帐户来说尤其危险。”Morphisec 研究员指出。 Morphisec 表示，RCE 漏洞可能被利用来窃取数据、未经授权访问系统以及执行其他恶意活动。 Morphisec 补充道：“此 Microsoft Outlook 漏洞可以在用户之间传播，无需点击即可执行。” 据该网络安全公司称，利用此零点击漏洞非常简单，这使得它在初始访问时容易被大规模利用。 Morphisec 说：“一旦攻击者成功利用此漏洞，他们就可以以与用户相同的权限执行任意代码，从而可能导致整个系统被入侵。” Morphisec 研究员计划在今年夏天的 DEF CON 会议上发布技术细节和概念验证（PoC）漏洞。 建议用户尽快更新 Outlook 客户端。据了解，攻击者以前曾利用零点击 Outlook 漏洞进行攻击。 周二，微软发布了针对其产品中十多个远程代码执行漏洞的补丁，其中包括微软消息队列 (MSMQ) 中的一个严重漏洞。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/6CWP3JOlUHc3Mh6M9Zsg7w 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，Outlook.com 近期接连发生宕机事故，6 月 6 日，又再次出现服务故障。事后，名为 Anonymous Sudan 的黑客团伙声称对 Outlook 服务进行了 DDoS 攻击。 此次宕机事件给全球 Outlook用户造成严重困扰，许多 Outlook 用户在 Twitter 上抱怨电子邮件服务不稳定使其无法可靠地访问或发送电子邮件以及使用移动 Outlook 应用程序，称故障影响了他们的工作效率。 Outlook 网络邮件无法显示邮件（来源： Bleeping Computer） 对于宕机一事，微软方面透露是由技术问题引起，目前已经在 Twitter 上发布了一系列更新，正在加紧推动进一步的缓解措施。 Anonymous Sudan 声称对微软 Outlook 发动了 DDoS 攻击 Outlook 宕机事件发生后，一个名为 Anonymous Sudan 的黑组织声称对宕机事件负责，并警告称其正在对微软进行 DDoS 攻击，以抗议美国介入苏丹的内部事务。 Anonymous Sudan 在其 Telegram 频道上发布如下消息： Anonymous Sudan 可以针对任何想要针对的美国公司，美国人，不要责怪我们，要责怪美国政府干预苏丹的内政，后续组织将继续针对大型美国公司、政府和基础设施。 微软的服务每天有数亿人使用，但现在命运在 Anonymous Sudan 的支配和选择之下，微软的安全专家未能处理好已经持续了几个小时的攻击，可以付给我们 100 万美元，教你们的网络安全专家如何处理网络攻击。 Anonymous Sudan声称对微软进行了DDoS攻击（来源：Telegram） 值得一提的是，从 Anonymous Sudan 从分享 check-host.net网址来看，其攻击目标是 “https://outlook.live.com/mail/0/”（即 Outlook.com 网络服务的主要网址），虽然目前上述说法仍未得到证实，但在过去 24 小时内，Outlook 服务一直在遭受一系列故障的困扰，”表现“的很迟钝。     转自 Freebuf，原文链接：https://www.freebuf.com/news/368727.html 封面来源于网络，如有侵权请联系删除

周一晚间，据微软总部所在地华盛顿州雷德蒙市报道：北美及其他地区的用户无法访问某些服务，包括 Outlook.com 网络邮件。这一故障一直持续到星期二。 随后，微软在Office.com服务状态页面写道：”位于北美地区的用户试图访问Outlook.com，可能无法发送、接收或搜索电子邮件。其他功能，如 Microsoft Teams 等其他服务所使用的日历也会受到影响。 众包网站和服务中断报告的Downdetector网站显示，从世界标准时间凌晨 3 点 24 分开始，用户报告 Outlook 问题的数量激增。 这次故障似乎只影响到微软以消费者为中心的服务。Outlook.com是其免费的网络邮件服务，以前称为Hotmail，与Outlook for Web和OWA不同，后者是以企业为中心的网络邮件。 微软表示，“Microsoft Teams 等其他服务使用的 Outlook.com 功能（例如日历 API）也受到影响。” 这似乎只是对其消费者版本的 Teams 的引用。 微软上一次遭受重大故障是在13天前，当时其内部团队所做的 “广域网络路由变更 “导致微软365用户的全球中断。具体来说，许多Azure云服务变得无法访问，包括Outlook、Microsoft Teams、SharePoint Online、OneDrive for Business等（见：Microsoft 365云服务中断扰乱了全球用户）。 Outlook的访问和服务问题 微软周二凌晨4点04分（UTC）首次确认其最新的故障，20分钟后发推文表示“正在调查Outlook的访问和服务问题”。 此后不久，微软表示此次故障与最近更改的服务器有关，并开始 “有针对性地重新启动基础设施中受最近变化影响的部分”，以尝试解决这个问题。 微软在UTC上午6点46分发布推文”我们的目标资源正在取得进展，我们在一些环境中看到了轻微的改善，”。另外，我们正在寻找其他方式，以加快解决。 此次故障不仅涉及北美的基础设施，在全球范围内仍然可以看到中断现象。对此，微软在报告中解释道：”由于北美基础设施的受影响部分，北美以外其他地区的用户可能会经历一些残余的影响”。 随后，随着微软继续重新启动许多系统一些受影响地区的用户逐渐得到改善。” 截至UTC上午9:37，微软报告称，服务尚未完全恢复。”我们正在对受影响的基础设施的一个子集应用有针对性的缓解措施，并验证它已经减轻了影响。我们还在进行流量优化工作，以减轻用户的影响，并加快恢复”。 服务恢复 周二晚些时候，微软报告说，在问题开始约12小时后，问题已基本得到解决。微软说：”我们可以从遥测数据中看到，大部分影响已经得到补救，服务可用性达到99.9%。”我们正在继续监测环境，并对显示有残留影响的后端邮箱组件进行有针对性的重新启动，以确保所有用户的恢复。”     转自 Freebuf，原文链接：https://www.freebuf.com/news/356918.html 封面来源于网络，如有侵权请联系删除