Outlook Eklentisi Üzerinden 4.000 Microsoft Hesabı Hırsızlığı: AgreeToSteal Operasyonu

Anasayfa » Outlook Eklentisi Üzerinden 4.000 Microsoft Hesabı Hırsızlığı: AgreeToSteal Operasyonu
Phishing, Tedarik Zinciri Saldırıları, Zafiyetler
Şubat 12, 2026Şubat 12, 2026Tarafından Cybernews.TR
0
Outlook Eklentisi Üzerinden 4.000 Microsoft Hesabı Hırsızlığı: AgreeToSteal Operasyonu

Saldırının Genel Çerçevesi

Son dönemde ortaya çıkan bir tedarik zinciri saldırısında, artık geliştiricisi tarafından güncellenmeyen ve terk edilmiş durumda olan bir Outlook eklentisinin (AgreeTo) alan adı ele geçirildi. Saldırgan, bu alan adını kullanarak gerçek Microsoft giriş sayfasını taklit eden bir oltalama (phishing) kiti kurdu ve 4.000’den fazla Microsoft kimlik bilgisi çalındı. Bu operasyon, Siber güvenlik şirketleri tarafından “AgreeToSteal” kod adıyla anılıyor.

AgreeTo eklentisi, kullanıcıların farklı takvimleri tek bir arayüzde yönetmelerini ve uygunluk durumlarını e-posta yoluyla paylaşmalarını sağlayan bir araç olarak tasarlanmıştı. Ancak Aralık 2022’den sonra güncellenmemesi ve manifest dosyasının Vercel üzerinde barındırdığı URL’nin terk edilmesi saldırganlara fırsat verdi.

Saldırı Zinciri ve Teknik Detaylar

Office eklentileri, manifest dosyası aracılığıyla her açılışta geliştiricinin sunucusundan gerçek zamanlı içerik çeker. Bu yapı, dinamik içerik sunma avantajı sağlarken, kötü niyetli aktörlerin süresi dolmuş veya el değiştirmiş alan adlarını ele geçirmesi halinde ciddi güvenlik açıklarına yol açıyor.

AgreeTo örneğinde manifest, “outlook-one.vercel.app” adresini işaret ediyordu. Geliştiricinin Vercel dağıtımını terk etmesi nedeniyle bu URL saldırganların kontrolüne geçti. Saldırganlar, bu URL’de sahte bir Microsoft giriş sayfası sunarak kullanıcıların şifrelerini Telegram Bot API üzerinden dışarı aktardı ve ardından mağdurları gerçek Microsoft giriş sayfasına yönlendirdi. Eklenti, “ReadWriteItem” izinleriyle yapılandırıldığı için saldırganlar, JavaScript ile kullanıcıların e-posta içeriklerini okuma ve değiştirme yetkisi de elde edebilir.

Sistem Yöneticileri ve SOC Ekipleri İçin Öneriler

  • Office eklentilerinin manifest URL’lerini düzenli olarak izleyin ve değişiklikleri takip edin.
  • Eklenti izinlerini (özellikle ReadWriteItem gibi yüksek ayrıcalıklı izinleri) gözden geçirin ve gereksiz izinleri kaldırın.
  • Alan adı sahipliği doğrulaması yaparak, alan adlarının el değiştirmesini tespit edin.
  • Microsoft Partner Center ve Marketplace üzerinde periyodik yeniden inceleme mekanizmalarının uygulanmasını talep edin.
  • EDR ve SIEM çözümleri ile Outlook eklentileri kaynaklı anormal ağ trafiği ve kimlik doğrulama hatalarını izleyin.
  • MFA (Çok Faktörlü Kimlik Doğrulama) kullanımını zorunlu hale getirerek kimlik bilgisi hırsızlığı riskini azaltın.
  • Olay müdahale (incident response) planlarında e-posta güvenliği ve eklenti kaynaklı tehditlere yönelik senaryolar oluşturun.
  • Uzaktan dinamik bağımlılıkları barındıran pazar yerlerindeki paketlerin güvenlik taramalarını sıklaştırın.

Kurumsal Ortamlarda Olası Senaryolar

Özellikle finans, sağlık ve kamu sektörlerinde kullanılan Outlook eklentileri, hassas iletişim ve veri alışverişinin merkezi olduğundan, bu tür tedarik zinciri saldırıları kritik veri sızıntılarına yol açabilir. Örneğin, bir finans kurumunda çalışanların takvim ve e-posta yönetimini sağlayan eklentinin ele geçirilmesi, müşteri bilgileri ve finansal verilerin kötü niyetli aktörlerin eline geçmesine neden olabilir. Bu nedenle bulut güvenliği ve ağ segmentasyonu politikaları ile eklenti kaynaklı riskler minimize edilmelidir.

Alınabilecek Önlemler

Koi Security tarafından önerilen bazı önlemler şunlardır:

  • Eklenti manifest URL’si, onay aşamasında sunulan içerikten farklı içerik sunmaya başladığında otomatik yeniden inceleme tetiklenmeli.
  • Alan adı sahipliği doğrulaması zorunlu hale getirilmeli ve alan adı altyapısı el değiştiren eklentiler işaretlenmeli.
  • Uzun süre güncellenmeyen eklentiler Marketplace’ten kaldırılmalı veya kullanıcılar uyarılmalı.
  • Kurulum sayıları ve kullanım istatistikleri üzerinden etki analizi yapılmalı.

Bu saldırı, sadece Microsoft Marketplace ile sınırlı kalmayıp, diğer pazar yerlerinde de benzer dinamik bağımlılık ve manifest yapılarının risk oluşturduğunu gösteriyor. Bu nedenle, e-posta güvenliği ve bulut güvenliği alanlarında kapsamlı önlemler alınması önem taşıyor.

Teknik Özet

  • Kullanılan araçlar: Sahte Microsoft giriş sayfası, Telegram Bot API ile veri sızıntısı.
  • Hedef: Microsoft Outlook kullanıcıları, özellikle eklenti kullanıcıları.
  • Saldırı vektörü: Terk edilmiş eklenti manifest URL’sinin ele geçirilmesi ve dinamik içerik sunumu.
  • Saldırı zinciri: Alan adı ele geçirilmesi → Sahte giriş sayfası sunumu → Kimlik bilgisi hırsızlığı → Gerçek sayfaya yönlendirme.
  • Önerilen savunma: Manifest URL takibi, alan adı doğrulaması, MFA kullanımı, düzenli güvenlik taramaları, EDR ve SIEM entegrasyonu.
, , , , , , ,