„Microsoft zkontroluje manifest, podepíše ho a vypíše doplněk ve svém obchodě. Ale skutečný obsah – uživatelské rozhraní, logika, vše, s čím uživatel interaguje – je načteno živě ze serveru vývojáře pokaždé, když se doplněk otevře,“ uvedli výzkumníci Koi Security.
Osiřelá adresa URL
Chytením opuštěné subdomény získal útočník kontrolu nad tím, na co odkazovala adresa URL v původním manifestu. Tento obsah byl nahrazen novou adresou URL odkazující na phishing kit obsahující falešnou přihlašovací stránku Microsoftu pro shromažďování hesel, exfiltrační skript a přesměrování. Původní manifest také udělil útočníkovi oprávnění číst a upravovat e-maily.
„Microsoftu nic nepředložili. Nebyli povinni projít žádnou kontrolou. Nevytvořili záznam v obchodě. Záznam již existoval – zkontrolován Microsoftem, podepsán Microsoftem, distribuován Microsoftem. Útočník si pouze nárokoval osiřelou adresu URL a infrastruktura Microsoftu se postarala o zbytek,“ řekl Koi Security.
Zdroj: techadvisor.com
