文章总结： 本文揭示了Microsoft365环境的复合型攻击链：攻击者通过不安全的邮件API端点实施开放式中继攻击发送钓鱼邮件，同时利用生产环境错误消息泄露的OAuth令牌访问GraphAPI窃取数据。这种组合攻击能绕过SPF/DKIM/DMARC等邮件安全协议，获得对用户目录、Teams和SharePoint的持久读写权限。防御建议包括严格输入验证和生产环境禁用详细错误信息。 综合评分： 78 文章分类： 漏洞分析,网络钓鱼,云安全,应用安全,数据安全

网络钓鱼和 OAuth 令牌漏洞导致 Microsoft 365 全面泄露

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年2月7日 09:02 北京

两个中等严重程度的漏洞、一个不安全的电子邮件 API 端点以及暴露 OAuth 令牌的详细错误消息，相互关联，使得攻击者能够通过身份验证进行网络钓鱼，绕过所有电子邮件安全控制，并持续访问 Microsoft 365 环境。

虽然 SPF、DKIM 和 DMARC 等协议使得传统的域名欺骗变得困难，但攻击者的手段也在不断演变。他们现在寻求各种方法，发送技术上看似来自组织合法基础设施的电子邮件，从而完全绕过这些过滤器。

现代Web应用程序通过看似无害的功能，日益增加攻击面。本文探讨了两个独立的安全漏洞如何结合起来，形成一条影响巨大的攻击链。

电子邮件仍然是网络攻击的主要入口点。根据Verizon发布的《2025年数据泄露调查报告》，60%的数据泄露事件是由人为因素造成的，而电子邮件通常是最初的攻击途径。

漏洞 1：利用合法电子邮件进行攻击

许多网站都设有新闻简报注册表单或“联系我们”页面。实际上，这些都是API 端点（例如 /api/newsletter/subscribe），用于触发对外邮件的发送。

当这些表单缺乏严格的输入验证时，攻击者可以操纵 JSON 有效负载来控制电子邮件的收件人、主题和正文。

由于这些电子邮件是由公司实际的邮件服务器发送的，因此它们通过了所有身份验证检查，并且通常会被垃圾邮件过滤器信任。

攻击者可以利用这种“开放式中继”向员工发送极具迷惑性的钓鱼邮件，这些邮件看似来自“IT支持”或“人力资源”等内部部门，要求员工采取紧急行动。

漏洞 2：令牌泄露

第二个缺陷涉及生产环境中的错误处理不当。当攻击者向应用程序发送格式错误的请求（例如省略必填字段）时，配置不当的服务器可能会返回详细的堆栈跟踪信息，以帮助进行调试。

在现代云应用中，这些错误信息可能会无意中泄露应用程序的内存上下文，包括用于后端身份验证的活动OAuth 2.0持有者令牌。

在这种情况下，暴露的令牌是用于 Microsoft Graph API 的 JSON Web Tokens (JWT)。这些令牌通常授予对用户目录、Teams 频道和 SharePoint 文件广泛的读/写权限。

老练的攻击者会将这些漏洞串联起来，以造成最大影响：

1. 侦察与提取：攻击者触发详细错误信息以提取有效的 OAuth 令牌。
2. 数据窃取：他们利用该令牌查询微软 Graph API 以下载员工目录，从而识别高价值目标。
3. 定向网络钓鱼：攻击者利用存在漏洞的电子邮件终端，向目标用户发送“已认证”的钓鱼邮件。由于这些邮件伪装成合法的内部通信，用户更容易点击恶意链接。
4. 持久性：即使凭证发生更改，攻击者也可以通过重新触发错误情况来重新生成有效令牌，从而维持长期访问权限。

这种攻击路径说明了安全防护为何必须是整体性的。像冗长错误消息这样“中等”严重性的问题，一旦与电子邮件终端滥用相结合，就会变得非常严重。

组织必须对公共表单执行严格的输入验证，并确保生产系统仅返回通用错误消息，以防止敏感数据泄露。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《网络钓鱼和 OAuth 令牌漏洞导致 Microsoft 365 全面泄露》