Nederlands
English
Deutsch
Français
Español
Português
Outlook-beveiligingsinbreuk 2026: 4.000+ wachtwoorden gestolen via kwaadaardige add-in
In een belangrijke cybersecurity-incident die kritieke kwetsbaarheden in Microsoft's add-in-ecosysteem blootlegt, hebben meer dan 4.000 Outlook-gebruikers hun wachtwoorden en gevoelige financiële informatie gestolen gezien via een gekaapte add-in genaamd AgreeTo. Deze eerste aanval in zijn soort, ontdekt door beveiligingsonderzoekers in februari 2026, vertegenwoordigt de eerste bekende kwaadaardige Outlook-add-in op Microsoft's officiële Marketplace en benadrukt systematische beveiligingshiaten in hoe Microsoft toezicht houdt op extensies van derden.
Wat er gebeurde: De AgreeTo-add-in-aanval uitgelegd
De beveiligingsinbreuk draaide om een Outlook-add-in genaamd AgreeTo, oorspronkelijk ontwikkeld als een legitieme tool voor het plannen van vergaderingen die gebruikers in staat stelde werk- en persoonlijke agenda's samen te voegen. De add-in werd voor het laatst bijgewerkt in december 2022 voordat deze werd verlaten door de ontwikkelaar. Toen de ontwikkelaar stopte, verwijderden ze de add-in niet van Microsoft's Marketplace en lieten ze het bijbehorende domeinnaam verlopen.
Deze nalatigheid bleek catastrofaal. Cybercriminelen claimden het verlopen domein (outlook-one.vercel.app) en transformeerden de ooit legitieme add-in in een geavanceerde phishing-tool. De kwaadaardige versie toonde nep Microsoft-aanmeldingspagina's binnen Outlook's zijbalkinterface, ving gebruikersgegevens op en stuurde deze naar aanvallers via Telegram Bot API voordat slachtoffers werden doorgestuurd naar legitieme Microsoft-aanmeldingspagina's.
Hoe de aanval werkte: Technische details
De aanval maakte gebruik van verschillende kritieke kwetsbaarheden in Microsoft's add-in-architectuur:
- Domeinovername: Aanvallers claimden het verlaten Vercel-subdomein vermeld in het originele add-in-manifest
- Phishing-kit-integratie: Het gekaapte domein serveerde nep Microsoft-aanmeldingspagina's die binnen Outlook's vertrouwde interface verschenen
- Machtigingsmisbruik: De add-in had 'ReadWriteItem'-machtigingen verleend in 2022, waardoor het gebruikers-e-mails kon lezen en wijzigen
- Data-exfiltratie: Gestolen inloggegevens werden automatisch naar aanvallers gestuurd via Telegram-bots
Beveiligingsonderzoekers van Koi Security ontdekten de aanval en vonden dat de gestolen gegevens niet alleen wachtwoorden omvatten, maar ook creditcardnummers, CVV-codes, pincodes en bankbeveiligingsantwoorden gebruikt voor Interac e-Transfer-authenticatie.
Het structurele probleem met Outlook-add-ins
Dit incident legt fundamentele gebreken bloot in Microsoft's add-in-beveiligingsmodel. In tegenstelling tot traditionele software die continu wordt gecontroleerd, worden Outlook-add-ins alleen beoordeeld tijdens de initiële indiening bij de Marketplace. Eenmaal goedgekeurd, kunnen ze dynamisch inhoud laden van externe URL's zonder verder toezicht.
'Dit vertegenwoordigt een kritieke kwetsbaarheid in de toeleveringsketen waarbij Office-add-ins inhoud dynamisch ophalen van ontwikkelaarsservers zonder doorlopende monitoring,' legde cybersecurity-analist Mark Johnson uit. 'De architectuur maakt het mogelijk dat verlaten domeinen worden overgenomen en legitieme add-ins worden omgezet in malware.'
Het probleem is bijzonder acuut omdat Microsoft's indieningsproces alleen vereist dat ontwikkelaars een XML-manifest met een URL indienen in plaats van daadwerkelijke code voor beoordeling. Deze kwetsbaarheid werd voor het eerst geïdentificeerd in 2019 maar blijft onopgelost in Microsoft's huidige architectuur.
Impact en omvang van de inbreuk
De AgreeToSteal-aanval (zoals onderzoekers het hebben genoemd) trof meer dan 4.000 Outlook-gebruikers wereldwijd. De gecompromitteerde gegevens omvatten:
| Gegevenstype | Aantal getroffen | Risiconiveau |
|---|---|---|
| Microsoft-accountgegevens | 4.000+ | Hoog |
| Creditcardinformatie | Onbekend | Kritiek |
| Bankbeveiligingsantwoorden | Onbekend | Kritiek |
| Persoonlijke identificatiegegevens | Onbekend | Medium-hoog |
Onderzoekers ontdekten dat de aanvallers ten minste 12 verschillende phishing-kits beheren die verschillende merken imiteren, waaronder Canadese ISP's, banken en webmailproviders, wat suggereert dat dit deel uitmaakte van een grotere, gecoördineerde operatie.
Microsoft's reactie en gebruikersacties
Microsoft heeft de AgreeTo-add-in verwijderd van zijn Marketplace na de ontdekking door beveiligingsonderzoekers. Het bedrijf heeft echter geen fundamentele wijzigingen aangekondigd in zijn add-in-monitoringarchitectuur.
Voor getroffen gebruikers is onmiddellijke actie vereist:
- De AgreeTo-add-in verwijderen: Verwijder deze onmiddellijk uit Outlook indien geïnstalleerd na mei 2023
- Wachtwoorden wijzigen: Reset wachtwoorden voor alle getroffen Microsoft-accounts
- Tweefactorauthenticatie inschakelen: Voeg een extra beveiligingslaag toe aan uw accounts
- Financiële overzichten controleren: Controleer op verdachte transacties
- Accountactiviteit beoordelen: Zoek naar ongeautoriseerde toegang of wijzigingen
Bredere implicaties voor enterprise-beveiliging
Dit incident heeft significante implicaties voor enterprise cybersecurity-strategieën, vooral voor organisaties die afhankelijk zijn van Outlook voor zakelijke communicatie. De aanval toont aan hoe vertrouwde platforms vectoren kunnen worden voor geavanceerde phishing-campagnes.
Beveiligingsexperts raden organisaties aan:
- Strikte add-in-goedkeuringsbeleid te implementeren
- Geïnstalleerde add-ins regelmatig te auditen voor verlaten of niet-onderhouden extensies
- Medewerkers te informeren over de risico's van extensies van derden
- Enterprise-grade beveiligingsadd-ins zoals Microsoft Purview te overwegen
Het incident benadrukt ook het belang van toeleveringsketenbeveiliging in software-ecosystemen, waar kwetsbaarheden in componenten van derden hele platforms kunnen compromitteren.
FAQ: Outlook-add-in-beveiligingsinbreuk 2026
Wat is de AgreeTo-add-in-aanval?
De AgreeTo-aanval is een cybersecurity-incident waarbij een legitieme Outlook-add-in werd gekaapt door aanvallers nadat de ontwikkelaar deze had verlaten, waardoor het een phishing-tool werd die meer dan 4.000 gebruikersgegevens en financiële gegevens stal.
Hoeveel gebruikers zijn getroffen?
Meer dan 4.000 Outlook-gebruikers hadden hun Microsoft-accountgegevens gestolen, met waarschijnlijk extra slachtoffers getroffen door financiële datadiefstal, waaronder creditcardnummers en bankinformatie.
Wat moeten getroffen gebruikers doen?
Verwijder onmiddellijk de AgreeTo-add-in, wijzig alle getroffen wachtwoorden, schakel tweefactorauthenticatie in, controleer financiële accounts op verdachte activiteit en beoordeel accountbeveiligingsinstellingen.
Lost Microsoft de onderliggende kwetsbaarheid op?
Microsoft heeft de kwaadaardige add-in verwijderd maar heeft geen fundamentele wijzigingen aangekondigd in zijn add-in-monitoringarchitectuur, die beveiligingsonderzoekers als ontoereikend hebben bekritiseerd.
Hoe kan ik mezelf beschermen tegen vergelijkbare aanvallen?
Installeer alleen add-ins van vertrouwde ontwikkelaars, beoordeel geïnstalleerde extensies regelmatig, schakel tweefactorauthenticatie in, gebruik sterke unieke wachtwoorden en wees voorzichtig met onverwachte aanmeldingsprompts binnen applicaties.
Bronnen
The Hacker News: Eerste kwaadaardige Outlook-add-in gevonden
Bleeping Computer: Outlook-add-in gekaapt om 4.000 accounts te stelen
