Add-in sequestrado no Outlook expõe credenciais de 4 mil contas Microsoft
Um ataque explorando o sequestro de um add-in do Outlook levou ao roubo de credenciais de aproximadamente quatro mil contas Microsoft. A brecha foi detalhada por pesquisadores da Koi Security, que mostraram como uma funcionalidade legítima do ecossistema de extensões da Microsoft pode se transformar em um vetor extremamente eficiente para campanhas de phishing.
Ao contrário do que muitos usuários imaginam, add-ins do Outlook não funcionam como extensões tradicionais instaladas localmente no computador. Na prática, eles atuam como “janelas” que carregam conteúdo remoto: um arquivo XML é validado e assinado pela Microsoft, mas a interface exibida ao usuário é fornecida em tempo real a partir de um domínio controlado pelo desenvolvedor, por meio de iframes. Isso cria uma espécie de “ponte confiável” entre o Outlook e o servidor do parceiro – e foi justamente essa confiança que os criminosos exploraram.
O caso começou com o add-in AgreeTo, lançado em 2022 com a proposta de integrar calendários profissionais e pessoais, facilitando a organização de reuniões e compromissos. Além do suplemento para Outlook, o serviço também mantinha uma extensão para Chrome, cuja última atualização registrada ocorreu em maio de 2023. Com o passar do tempo, o domínio utilizado pelo AgreeTo expirou, o serviço deixou de ser mantido, mas o add-in continuou listado e disponível no Marketplace da Microsoft, ainda apontando para a mesma URL, agora fora de operação.
Criminosos acompanharam essa expiração do domínio e aproveitaram a oportunidade: registraram novamente o endereço que antes pertencia ao AgreeTo e o transformaram em uma plataforma de ataque. Em vez da antiga página legítima do serviço, o novo domínio passou a hospedar uma página falsa de login da Microsoft, um coletor de senhas, scripts para exfiltração de dados e mecanismos de redirecionamento para quem ainda utilizava o add-in. O ponto crítico é que, como o suplemento já havia sido aprovado e assinado anteriormente pela Microsoft, os invasores não precisaram se submeter a nenhum novo processo de auditoria ou revisão de código.
Na visão do usuário final, nada parecia suspeito à primeira vista. Ao acionar o add-in sequestrado dentro do Outlook, a pessoa era apresentada a uma tela de autenticação que reproduzia com grande fidelidade a página oficial de login da Microsoft. Muitos acreditaram estar apenas renovando a sessão ou revalidando o acesso ao serviço, algo considerado rotineiro em ambientes corporativos. Porém, todas as credenciais inseridas ali eram imediatamente enviadas a um servidor remoto controlado pelos atacantes.
Os pesquisadores da Koi Security descobriram que esse servidor estava mal configurado e não devidamente protegido, o que permitiu analisar os registros armazenados. Neles, constavam dados de login de mais de quatro mil contas Microsoft. O número indica que o ataque não foi meramente pontual, mas explorou de forma eficiente a confiança dos usuários em componentes oficialmente listados no ecossistema da empresa. Ainda segundo a investigação, os mesmos criminosos estariam envolvidos em outras campanhas de phishing, demonstrando um nível de profissionalização crescente nesse tipo de operação.
Após ser informada sobre o sequestro do add-in, a Microsoft removeu o AgreeTo do seu marketplace. No entanto, o episódio expõe um problema estrutural: a cadeia de confiança em torno dos add-ins se baseia, em grande parte, em uma verificação inicial e em premissas de boa condução contínua por parte do desenvolvedor. Quando um serviço é abandonado, vendido ou tem seu domínio expirado e reaproveitado por terceiros mal-intencionados, essa confiança se torna um ponto frágil.
Os especialistas classificam os add-ins como “dependências dinâmicas”: o componente instalado pelo usuário continua o mesmo, mas o conteúdo que ele carrega pode mudar a qualquer momento, sem qualquer atualização visível no Outlook ou novo processo de revisão. Basta que o proprietário do domínio altere o que é servido naquele endereço. Isso significa que mesmo um add-in considerado seguro hoje pode se tornar perigoso amanhã, sem nenhuma alteração no arquivo XML original assinado pela Microsoft.
Esse tipo de risco é especialmente preocupante em ambientes corporativos e governamentais, onde add-ins muitas vezes são amplamente distribuídos, padronizados em toda a organização e utilizados para funções sensíveis, como agendamento de reuniões, assinatura eletrônica, automação de fluxos de trabalho e integração com sistemas internos. Um único suplemento comprometido pode servir de porta de entrada para roubo de credenciais de executivos, administradores de TI e usuários com privilégios elevados, ampliando o potencial de impacto de forma exponencial.
Do ponto de vista de segurança, o caso destaca a necessidade de revisar a forma como organizações gerenciam extensões em ferramentas de e-mail e colaboração. Não basta apenas checar se um add-in consta em um marketplace oficial. É crucial estabelecer políticas internas de homologação, limitar a instalação apenas a componentes estritamente necessários e, sempre que possível, desativar ou remover suplementos que deixarem de ser utilizados ou que aparentem abandono por parte do fornecedor. Monitorar a atividade de domínios associados a add-ins também pode ser uma estratégia, embora mais complexa.
Para usuários finais, algumas práticas ajudam a reduzir a exposição. Desconfiar de pedidos inesperados de login ou reautenticação dentro de add-ins é um primeiro passo: se surgir uma tela de login fora do fluxo normal, é mais seguro fechar o suplemento e acessar diretamente o portal oficial da Microsoft em uma nova aba. Atenção também a erros de gramática, layout desalinhado ou ausência de elementos familiares na página de login, sinais que por vezes denunciam uma página falsa – embora, em ataques mais sofisticados, a cópia seja quase perfeita.
Administradores de TI podem reforçar ainda mais a defesa combinando autenticação multifator com monitoramento de atividades suspeitas em contas Microsoft, como logins a partir de locais incomuns, múltiplas tentativas de acesso ou uso de tokens de sessão suspeitos. Mesmo que as credenciais sejam comprometidas por um ataque de phishing, o uso de múltiplos fatores de autenticação e políticas de acesso condicional tende a dificultar, ou ao menos atrasar, a exploração dessas contas pelos invasores.
Outro ponto frequentemente negligenciado é a falsa sensação de segurança em relação a serviços em nuvem e SaaS. Muitas empresas presumem que, por utilizarem plataformas de grandes provedores, todos os aspectos de segurança e recuperação de dados estão automaticamente cobertos. No entanto, ataques baseados em roubo de credenciais podem resultar em exclusão de dados, sequestro de informações, uso malicioso de caixas de e-mail e até manipulação de configurações internas. Sem uma estratégia de backup independente ou políticas claras de retenção e recuperação, a organização pode ficar vulnerável não apenas ao acesso indevido, mas também à perda definitiva de informações críticas.
O incidente com o add-in sequestrado também reacende o debate sobre a responsabilidade compartilhada entre provedores de tecnologia e desenvolvedores de terceiros. De um lado, espera-se que marketplaces implementem mecanismos mais robustos de monitoramento contínuo – por exemplo, verificações periódicas do conteúdo servido pelos domínios associados a add-ins, detecção de padrões de phishing e alerta automático quando um domínio é transferido ou re-registrado. De outro, recai sobre desenvolvedores a responsabilidade de manter seus serviços, renovar domínios e despublicar extensões que não serão mais suportadas.
No cenário atual, em que o e-mail continua sendo uma das principais portas de entrada para ataques e o roubo de credenciais permanece entre as técnicas mais usadas em incidentes de segurança, abusos envolvendo add-ins tendem a se tornar cada vez mais atraentes para grupos maliciosos. Eles combinam três fatores poderosos: a confiança do usuário no ecossistema do fornecedor, a sensação de legitimidade por estar utilizando um recurso “oficial” e a capacidade de alterar silenciosamente o conteúdo servido, sem disparar novos alertas de revisão.
Como ciclo de melhoria, organizações conscientes podem usar esse caso como gatilho para revisar sua postura de segurança em relação a extensões e integrações: mapear todos os add-ins em uso, classificá-los por criticidade, verificar o estado dos fornecedores, avaliar dependências de domínios externos e, quando possível, migrar funções essenciais para soluções sob controle direto da empresa ou de parceiros com contratos bem definidos de suporte e segurança.
Em última análise, o sequestro do add-in do Outlook que levou ao roubo de quatro mil contas Microsoft mostra que a linha entre um recurso de produtividade e um vetor de ataque pode ser mais tênue do que parece. A combinação de vigilância técnica, políticas rígidas de uso de extensões, educação de usuários e camadas adicionais de proteção de identidade é hoje indispensável para reduzir o espaço de manobra de ataques que exploram justamente aquilo em que as pessoas mais confiam: a aparência de legitimidade.