'Exfil Out&Look' laat aanvallers onzichtbaar e-mails onderscheppen
Onderzoekers van Varonis Threat Labs hebben een ernstig lek in Microsoft 365 ontdekt waarmee kwaadwillenden e-mailgegevens kunnen stelen zonder een enkel spoor achter te laten in de forensische logs. De aanvalsmethode, gedoopt tot 'Exfil Out&Look', maakt misbruik van de manier waarop Outlook-extensies (add-ins) werken in de webversie van Outlook (OWA).
Het grote gevaar van deze methode is dat het installeren en uitvoeren van extensies via de webinterface van Outlook geen enkele melding genereert in het Unified Audit Log van Microsoft 365. Zelfs organisaties met de hoogste beveiligingslicenties (E5) blijven volledig blind voor deze activiteit. Hierdoor kunnen aanvallers of kwaadwillende insiders maandenlang ongestoord e-mails onderscheppen.
Hoe de aanval werkt
De onderzoekers toonden aan dat een extensie met minimale rechten — waarvoor geen toestemming van de gebruiker nodig is — zichzelf kan koppelen aan het 'verzendsignaal' (OnMessageSend) van Outlook.
- Onzichtbare installatie: Een gebruiker of aanvaller uploadt een manifestbestand via Outlook Web. Dit genereert geen logboekvermelding.
- Stille diefstal: Zodra een gebruiker een e-mail verstuurt, onderschept de extensie de inhoud (onderwerp, tekst, ontvangers en bijlagen).
- Data-exfiltratie: De gegevens worden op de achtergrond naar een externe server gestuurd voordat de e-mail daadwerkelijk wordt verzonden.
In een nog extremer scenario kan een beheerder met Exchange-rechten een dergelijke extensie organisatiebreed uitrollen. Hoewel de initiële uitrol wel wordt gelogd, is het voortdurende gedrag van de extensie — het doorsturen van elke uitgaande e-mail binnen het hele bedrijf — onzichtbaar voor beheerders.
"Lage prioriteit" volgens Microsoft
Varonis meldde de kwetsbaarheid al in september 2025 bij Microsoft. De softwaregigant erkende het probleem, maar classificeerde het als een "bug met lage ernst" of een suggestie voor productverbetering. Microsoft heeft momenteel geen plannen voor een directe pleister (patch), wat betekent dat de techniek nog steeds effectief is.
Aanbevelingen voor organisaties
Omdat Microsoft geen directe oplossing biedt, adviseert Varonis aan beveiligingsteams om zelf maatregelen te nemen:
Beperk extensies: Blokkeer de mogelijkheid voor gebruikers om eigen extensies of manifestbestanden te uploaden via het Microsoft 365-beleid.
Controleer beheerders: Controleer regelmatig welke applicaties en 'Service Principals' door beheerders zijn aangemaakt.
Netwerkmonitoring: Houd uitgaand verkeer van Outlook-clients naar onbekende servers van derden nauwlettend in de gaten.
De ontdekking onderstreept een groeiend probleem in cloudomgevingen: terwijl de functionaliteit (zoals AI-koppelingen in Outlook) snel toeneemt, blijft de transparantie en controle voor security-teams soms achterwege.
Meer over Security
Over Witold Kepinski
