瓦罗尼斯威胁实验室(Varonis Threat Labs)发布的最新报告指出,Microsoft 365 的日志记录功能存在重大盲区,攻击者可借此窃取敏感邮件且不留下任何痕迹。这种被命名为 “Exfil Out&Look” 的攻击手段,利用 Outlook 合法插件实现数据的隐秘外泄,直接绕过安全团队用于发现入侵者的审计日志。
该漏洞的核心问题,在于 Outlook 桌面端与网页端的日志记录机制不一致。桌面端安装插件时会生成本地日志,而Outlook 网页版(OWA)在插件安装和执行过程中,不会生成任何审计日志条目。这一问题造成了严重的溯源与监控空白,让 OWA 沦为攻击者实施数据窃取的 “幽灵通道”。
插件的设计初衷是提升办公效率,但一旦落入不法分子手中,就会成为绝佳的间谍工具。瓦罗尼斯的研究人员验证发现,攻击者或恶意内部人员可通过 OWA 安装自定义插件,该插件能将用户收发的每一封邮件副本自动转发至外部服务器。
正是由于日志记录功能的失效,通过 OWA 安装的插件可被恶意利用,在不生成审计日志、不留下任何取证痕迹的前提下,隐秘提取邮件数据。
这与 Outlook 桌面端的正常机制形成鲜明对比 —— 桌面端的插件安装行为会被完整记录在日志中。但在以云为核心的 OWA 环境中,上述操作全程处于日志不可见状态。对于那些高度依赖统一审计日志开展威胁检测和事件调查的企业而言,这一盲区会让恶意插件或权限过度开放的插件长期隐秘运行,不被发现。
报告明确了该漏洞可能引发严重后果的多种场景:
- 恶意内部人员作案:员工在离职前安装自定义插件,窃取自身的通信邮件记录。由于插件的安装和执行不会生成任何审计日志,安全团队无法发现相关操作。
- 账户遭入侵利用:外部攻击者通过钓鱼攻击获取账户权限后,可安装该插件,以此长期持续获取受害者的邮件流数据。
- 高权限账户滥用:恶意管理员可在整个企业内部部署该恶意插件,实现对所有外发邮件的全面拦截。
- 供应链投毒:看似合法的第三方插件,可能隐藏着以 “AI 处理” 为名义的数传功能,企业对此类数据外泄行为完全无迹可查。
最令人担忧的,当属厂商对此问题的回应。瓦罗尼斯已于 2025 年 9 月向微软披露该漏洞,但经微软评估后,将 “Exfil Out&Look” 归为低严重性产品缺陷或功能建议,且暂无立即修复或发布补丁的计划。
发表评论
您还未登录,请先登录。
登录