微软Outlook插件被巧妙利用,可悄无声息窃取敏感邮件数据

微软365生态系统存在一个重大的架构盲区，使得攻击者能够在不留任何痕迹的情况下窃取敏感邮件数据。

这项名为”Exfil Out&Look”的攻击技术，利用了Outlook的插件框架来暗中截取外发的邮件通讯。

与依赖软件漏洞的传统攻击方式不同，该技术滥用了Outlook网页版中的合法功能，绕过了统一审核日志的监控，使得数据窃取行为对常规安全监控工具完全”隐形”。

“Exfil Out&Look”技术分析

该攻击的核心机制在于恶意滥用Outlook插件。这些插件通常是使用HTML、CSS和JavaScript等标准网页技术开发的应用程序。

插件通过一个清单文件运作，该文件规定了其在Office产品内的权限和集成点。

Varonis研究团队演示了攻击者如何制作一个恶意插件来利用OnMessageSend事件。该事件本是为允许合法应用程序在邮件发送前进行处理而设计的。

通过为清单文件配置最低权限，特别是ReadWriteItem能力，该插件就能访问待发邮件的主题、正文内容和收件人详细信息。

关键是，这种级别的访问不会触发通常用于提醒用户或管理员的高优先级权限请求流程。一旦用户点击发送，恶意的JavaScript负载就会在后台异步执行，利用一个简单的fetch()调用，将被截获的数据传输到攻击者控制的第三方服务器。

整个过程在后台进行，既不会中断用户体验，也无需像Mailbox.Read这类会引起审查的高权限。

此次发现最令人担忧的一点，是Outlook桌面版与网页版在日志记录行为上的不一致。当通过Outlook桌面客户端安装插件时，Windows事件查看器会生成事件ID 45，留下可供取证团队调查的本地记录。

然而，Varonis发现，通过Outlook网页版执行的插件安装，不会在微软365统一审核日志中生成相应的条目。

这一日志记录缺口造成了一种危险场景：无论是已入侵账户的外部攻击者还是恶意内部人员，都可以安装一个能永久存留的数据收集插件。

即使在启用了微软365 E5许可证和全面审核功能的环境中，该插件的安装和后续执行过程仍然不会被记录。

研究指出，尽管从技术上讲，外传流量在网络边界处是可见的，但在微软365租户内部，却没有任何关联日志能表明邮件内容被访问或窃取。

Varonis已于2025年9月30日将这些发现报告给微软安全响应中心。微软审查后将该问题归类为”低严重性产品缺陷或建议”，并表示目前暂无立即修复或发布补丁的计划。因此，”Exfil Out&Look”技术仍然是数据窃取的一个有效途径。

为降低此风险，安全团队必须转变思路，从依赖默认日志转向主动管控。管理员应执行严格的插件安装策略，例如阻止用户自行安装插件，并仅通过微软365管理中心来管理允许列表。

此外，企业应监控Azure Active Directory中异常的服务主体创建或应用程序注册行为，因为这些可能是发现恶意插件在全组织范围内部署的唯一迹象。