文章总结： Praetorian安全研究人员发现了一种针对Microsoft365的新型攻击链，攻击者通过滥用面向公众的API端点输入字段，强制组织自身基础设施发送通过SPF和DMARC认证的恶意邮件以绕过检测。当该邮件漏洞与错误处理不当漏洞结合时，攻击者可通过提交畸形JSON负载触发详细调试响应，泄露OAuth2.0持有者令牌和JWT，从而无需凭证即可访问SharePoint、Teams和Outlook等资源，并可能横向移动至Azure基础设施。建议对所有公共API实施严格输入验证，并确保生产环境返回通用错误信息以避免泄露敏感凭证。 综合评分： 85 文章分类： 漏洞分析,云安全,网络钓鱼,应用安全,安全意识

网络钓鱼和OAuth令牌漏洞导致Microsoft 365全面入侵

O安全研究员 O安全研究员

O安全研究员

2026年2月6日 19:44 广东

现代网络应用经常通过看似无害的功能引入意想不到的攻击面，比如订阅通讯、联系表单和重置密码。

虽然单个漏洞单独看似可控，但复杂的对手越来越多地利用这些小缺陷来实现毁灭性的妥协。

电子邮件仍是网络攻击的主要入口，但传统的钓鱼攻击仍难以应对先进的过滤和认证协议。

攻击者通过滥用合法的商业逻辑找到了一种变通方法。通过控面向公众的API端点的输入字段，它们可以强制组织自身基础设施发送恶意邮件。

由于这些消息来自授权服务器，它们通过了严格的认证检查，如SPF和DMARC，直接进入受害者的主要收件箱。

这种技术通过利用组织自身领域内在的信任，有效地规避了检测。

Praetorian分析师识别出了这一特定攻击链，指出当该邮件漏洞与第二个漏洞——错误处理不当——结合时，攻击链的严重性会大幅升级。

在许多云环境中，内部服务使用OAuth令牌进行身份验证。当应用程序在调试时显示冗长错误时，错误的请求可能触发响应，从而无意中倾倒这些敏感的认证令牌和栈跟踪。

代币劫持的机制

这次攻略的技术核心依赖于应用环境中对OAuth 2.0持有人令牌的处理不当。

当攻击者故意向API提交不完整或格式错误的JSON负载时，系统无法优雅地降级。它不是通用错误，而是返回一个全面的调试日志给客户端。

该日志包含服务用来与 Microsoft Graph API 通信的活跃 JSON Web 令牌（JWT）。

一旦提取，这些令牌即可即时、经过认证地访问组织资源，无需用户凭证或触发典型登录警报。

根据令牌的范围，攻击者可以悄无声息地窃取 SharePoint 文档、访问敏感的 Teams 聊天记录，或修改 Outlook 日历。

这种持久的立足点使他们能够在代币拥有足够权限的情况下转向更广泛的Azure基础设施。通过反复触发错误条件，攻击者可以收集新的令牌，即使会话结束仍能保持访问权限。

为了有效降低这些风险，安全团队必须对所有公共API执行严格的输入验证，确保仅接受最低必要的参数。

此外，组织应确保生产环境配置为返回通用错误信息，抑制可能无意中泄露内部系统状态或活跃凭证的详细调试信息。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：O安全研究员 O安全研究员 O安全研究员《网络钓鱼和OAuth令牌漏洞导致Microsoft 365全面入侵》