Ghost-Sender漏洞使得ExchangeOnline中的发件人欺骗成为可能

admin 2026-06-30 06:33:24 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 微软ExchangeOnline中存在名为Ghost-Sender的配置漏洞,允许攻击者绕过SPF、DKIM和DMARC验证,伪造任意发件人向目标租户内收件人发送邮件。该漏洞利用混合模式下外部MX记录导致的内置过滤绕过,微软将其定性为已知架构限制而非产品漏洞。建议通过部署特定连接器或创建邮件流规则进行缓解,目前修复责任由管理员承担。 综合评分: 88 文章分类: 漏洞分析,应用安全,云安全,网络安全


cover_image

Ghost-Sender 漏洞使得 Exchange Online 中的发件人欺骗成为可能

原创

ZM ZM

暗镜

2026年6月13日 07:00 北京

在小说阅读器读本章

去阅读

微软 Exchange Online 中新披露的一个配置错误(称为 Ghost-Sender)允许攻击者伪造来自任何发件人的电子邮件,发送给目标租户内的任何收件人,从而完全绕过 SPF、DKIM 和 DMARC 电子邮件身份验证控制。

InfoGuard 的研究人员发布了一款免费测试工具,帮助企业确定自身是否存在安全风险。Ghost-Sender 漏洞利用了 Exchange Online 的一个基本架构缺陷。

当组织将 Exchange Online 或本地 Exchange 以混合模式与外部 MX 记录(例如第三方垃圾邮件过滤器或电子邮件网关)一起使用时,Exchange Online 的内置过滤功能实际上会被绕过。

攻击者可以直接向租户的 *.mail.protection.outlook.com 终端发送电子邮件,完全绕过外部过滤器,并将伪造的邮件直接发送到用户的收件箱。

即使被欺骗的域已正确配置了 SPF、DKIM 和 DMARC 策略,欺骗的电子邮件也会在没有任何警告的情况下到达。

在测试中,研究人员成功地将一封来自具有强大电子邮件身份验证功能的域的伪造电子邮件 [email protected]直接发送到了用户的收件箱。

对于内部发件人,Outlook 甚至可以识别伪造的发件人头像,使得攻击几乎与合法通信难以区分。整个攻击只需一行 PowerShell 命令即可完成,目标是租户的邮件保护端点。

研究人员的初步分析发现,使用外部 MX 记录的 Exchange Online 环境中,只有不到一半采取了缓解措施。

在扫描的漏洞赏金域中,超过 20% 使用 Exchange Online 的域似乎存在漏洞,这表明存在普遍的、系统性的配置错误,而不是孤立的边缘案例。

更重要的是,微软支持部门向研究人员证实,这个问题或相关问题正在实际环境中被积极利用。

微软于 2026 年 4 月 22 日短暂部署了一项内部欺骗缓解措施,然后在 4 月 27 日将其撤回,使各组织再次面临风险。

截至微软2026年5月29日的最后一次沟通,该公司将此问题归类为“已知的架构限制”,而非产品漏洞,并且尚未发布平台级修复程序。Ghost-Sender漏洞为高风险的网络钓鱼和欺诈活动打开了方便之门。

攻击者可以发送看似来自微软或金融机构等受信任供应商的虚假发票,使用伪造的内部高管地址实施 CEO 欺诈和商业电子邮件入侵 (BEC) 攻击,或者发起广泛的网络钓鱼活动,冒充任何外部发件人,所有这些都不会在收件人的收件箱中触发身份验证警告。

Infoguard指出,并非所有Exchange Online配置都存在相同风险。MX记录直接指向Exchange Online Protection的组织不会受到攻击。

然而,任何使用外部 MX 记录且未进行额外加固的设置默认都存在安全漏洞。即使启用了增强过滤功能,标准的“您的组织”连接器也无法缓解此漏洞。

当 MX 记录未指向 Microsoft 365 时,强制执行“遵守 DMARC”的预设和自定义反钓鱼策略也无效。值得注意的是,微软自身的配置分析器并未针对任何此类易受攻击的设置发出警告。

已确认有两种配置可以阻止 Ghost-Sender 攻击。第一种配置是部署一个合作伙伴组织入站连接器,并启用通配符域名匹配和基于 IP 或证书的发件人限制。

第二种方法是创建优先级为 0 的邮件流规则,隔离所有非来自已批准 IP 范围或缺少 X-MS-Exchange-Organization-AuthAs: Internal 标头的入站邮件。

组织还应禁用直接发送功能,以阻止内部发件人欺骗,并使用免费测试工具验证其完整配置。缓解措施应用后,最多可能需要一个小时才能完全生效。

微软于 2026 年 4 月 21 日首次收到通知,但 MSRC 将该报告关闭,理由是这不是一个漏洞。由于目前没有厂商修复方案,因此修复责任完全落在 Exchange Online 管理员身上。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:暗镜 ZM ZM《Ghost-Sender 漏洞使得 Exchange Online 中的发件人欺骗成为可能》

评论:0   参与:  0