大多數Microsoft 365使用者對這個近期逐漸升高的嚴重電子郵件威脅還不甚了解。

我已經教導有關 Microsoft 郵件規則、表單以及連接器在郵件客戶端和伺服器上風險的知識已經有幾十年了。這些都可能被攻擊者利用，透過得知你的電子郵件地址和登入憑證（例如密碼或 MFA 代碼）來創建。

這些攻擊方式特別危險，因為攻擊者可以輕易地遠端設置，使用者或管理員很難主動檢測到（通常沒有明顯的外部跡象，也不會在事件日誌中留下紀錄），而且即使你變更登入憑證，或是使用全新的電腦和客戶端安裝，它們仍然會存在。我曾經看到受害者在以為已經消除威脅之後，仍然持續成為受害者。如果你不知道發生了什麼事情，會覺得攻擊者似乎有某種神奇的能力可以隨意重新獲取存取權，但實際上不過是一個不正常的規則、表單或連接器。

透過 Microsoft Outlook 的規則和表單，攻擊者可以修改你的電子郵件客戶端設定，執行任何可以透過軟體指令達成的惡意行為。電子郵件社交工程攻擊者常常會接管受害者的電子郵件帳戶，並用這個帳戶向原受害者的聯絡人發送看起來合法的電子郵件，以散播其他詐騙給更多的受害者。因為這些電子郵件是從原受害者的真實電子郵件帳戶發送的，收件人更可能會信任這些郵件。 

一個常見的現實案例是攻擊者向額外的受害者發送變更付款指示，這些受害者原本欠款並支付發票，但如今卻將款項支付到一個新的、惡意的銀行帳戶，而不是原本受害者的舊有、有效的銀行帳戶。攻擊者通常會使用規則、表單或連接器來刪除原受害者的已寄出郵件（以消除證據），並且會將任何來自新受害者的進來郵件重新導向，避免原本被侵犯的受害者得知事情的真相。

但利用惡意規則、表單和連接器還有更多的做法。我曾目睹攻擊者利用惡意規則和表單來啟用即時遠端存取後門，並遠端安裝駭客工具。說攻擊者可以利用被攻擊的電子郵件憑證完全接管你的電腦甚至整個組織，並不是誇張。

這裡有一個後者的範例：惡意 Outlook 規則。這裡還有一個示範範例，展示如何使用惡意表單來獲取遠端存取權限：https://www.youtube.com/watch?v=XfMpJTnmoTk。

關於Rogue Outlook的規則和表單已經被討論了二十年。

我在2020年這裡寫過關於惡意的 Microsoft Outlook 規則：檢查你的電子郵件規則是否有惡意。

連接器
相對較少人知道的是 Microsoft Exchange 連接器，這些連接器也可能被濫用，方式與其他連接器類似。我敢打賭有數十萬名 Microsoft 365 管理員根本不知道它們的存在。這實在很可惜，因為最近這些連接器越來越常被用來侵害電子郵件帳戶的安全。 

連接器跟客戶端規則很像，但是在 Microsoft Exchange 伺服器層級執行。官方上，微軟將它們描述為控制「郵件流」的方式。以下是 微軟官方對 Exchange 連接器的描述與文件。

我對於 Exchange 連接器被濫用的情況，幾乎和我知道 Outlook 規則與表單被濫用的時間一樣久。但直到最近，我一直認為只有在擁有本地的 Microsoft Exchange 伺服器時，才需要特別擔心這個問題。結果發現，這其實對每一個 Microsoft 365 帳號都是相關的。 

許多公司和個人都透過 Microsoft 365 設置他們的私人電子郵件帳戶。他們發送和接收的電子郵件看起來就像是來自他們自己的私人郵件伺服器和網域，但實際上這些郵件是由 Microsoft 的雲端 Exchange 服務提供的，這是他們 Microsoft 365 訂閱的一部分。而且 Microsoft 365 的 Exchange 服務（以及 Microsoft Online Protection）也有連接器。

如果你透過 Microsoft 365 來管理你的電子郵件，那麼你（以及攻擊者）都有能力設置（惡意的）連接器。

這讓我感到驚訝，因為我和我太太一直以來都在使用一個非常小的 Microsoft 365 實例（只有我們兩個），卻從來沒有意識到我需要擔心惡意連接器的問題。

惡意連接器持續上升
無論你是 Microsoft 365 的使用者還是管理員，都需要對此保持警惕。目前網路犯罪分子似乎越來越專注於設置惡意連接器，成為他們肮髒工作的其中一環。Microsoft 已經開始在幾篇相關文章中處理這個惡意連接器的增加問題，包括：惡意 Exchange 連接器的警報分類 和 應對遭到入侵的連接器。 

連接器攻擊範例
讓我舉一個最近發生在我一位朋友身上的相關攻擊的例子。值得一提的是，我認為這位朋友是我最有見識、最能警覺詐騙的朋友之一。他經營著一家小而有利可圖的業務。他的 Microsoft 365 郵件帳戶很可能遭到入侵，這和許多帳戶被攻擊的方式一樣——透過社交工程的手段。

他使用多重身份驗證（MFA）來保護那個帳戶，不過這是一般的、比較容易被釣魚的類型，會發送一個6位數的「一次性密碼」碼。很有可能，他是在收到一封看似與Microsoft 365有關的釣魚電子郵件後，不小心輸入了該密碼，並輸入了他的登入名稱、密碼和OTP碼。

攻擊者進行的這種 微軟稱之為中間人攻擊 通常會竊取使用者的登入會話cookie，這使得攻擊者可以在使用者的安全上下文中操作。  這意味著他們可以設置惡意的規則和表單，如果被攻擊的使用者恰好是 Microsoft 365 的管理員（這在較小的企業中相當常見），那麼攻擊者還可以設置 Exchange 連接器。 

攻擊者翻閱了我朋友的電子郵件，發現他有許多未結的客戶發票即將進來。接著，他們發送電子郵件給那些客戶（以及其他數百人，以各種詐騙方式）告訴付款人將未來的發票款項寄到一個新的銀行帳戶。

現在，任何時候當你收到這樣的請求時，都應該打電話給你所欠款項的商家，確認是否真的他們在要求你更新付款資訊。但他的客戶卻都沒有這麼做。相反地，他們照著指示行事（所有看起來都非常正當，似乎是來自他的請求），將所欠款項匯到攻擊者的銀行帳戶。

攻擊者利用惡意的 Exchange 連接器來隱藏電子郵件和詐騙計畫。這招奏效了。我的朋友直到至少七天後才注意到他的客戶正把錢付給其他人，結果他損失了相當可觀的金額。 

當他意識到事情的真相後，他馬上打電話給法證專家，並聯絡了微軟的技術支援。還沒等他把問題描述完，微軟的技術支援專家就立刻告訴他去檢查他的 Exchange 連接器（而我朋友甚至不知道這種東西的存在）。我朋友找到了一個顯示為‘games’的潛在連接器。

微軟的技術支援立刻讓他檢查連接器，這告訴我們這種攻擊方式有多受歡迎。我發現幾份微軟的文件提到不明身份的連接器，而這些文件大多數也不過幾個月前的內容。

他刪除了那個惡意的連接器，更新了他的電子郵件登錄憑證，正在竭盡所能地恢復受損的部分。這對於所有相關人士來說都不是個好情況。 

作為一位資深的網路安全「專家」，使用不當的規則、表單和連接器對我來說並不陌生。不過，我對朋友的小企業在使用幾個 Microsoft 365 帳號時竟然出現連接器感到驚訝。我進入我的 Microsoft 365 帳戶（我目前只有兩個帳號……我和我太太），果然也有一個連接器的區域（不過沒有不當的連接器）。 

然後我突然意識到，每個 Microsoft 365 的使用者/管理員都有一個連接器部分。這個問題並不只是限於少數人或某些公司；它影響了數億的使用者。Microsoft 365 擁有超過 3 億的使用者。

如果你擁有 Microsoft 365 帳號，那麼你可能會受到這項攻擊的影響。

如何查找是否擁有連接器
如果您是 Microsoft 365 的管理員，可以使用管理中心控制台：

1. 前往您的 Microsoft 365 管理中心控制台
2. 前往 Exchange 管理中心 (admin.exchange.microsoft.com)
3. 點擊郵件流
4. 點擊連接器

預設的連接器是不存在的，大部分情況下也不應該有任何連接器，除非你是有意設置它們。如果你發現一個或多個連接器，請仔細檢查它們，以確定是否為合法的。微軟警告說，攻擊者可能會修改現有的合法連接器，因此務必檢查所有現有的連接器，以尋找任何惡意修改的跡象。 

防護措施
第一步就是要留意那些不明的規則、表單和連接器，特別是如果你是 Microsoft Outlook 或 Exchange 的使用者。Gmail 有類似規則的功能，稱為過濾器，但它們的功能並不如規則強大，也不似乎遭到攻擊者濫用。我不知道 Gmail 是否有類似於連接器的伺服器端組件。不過，其他電子郵件客戶端也提供類似的郵件處理功能，可以與規則相比較，因此即使你的電子郵件客戶端不是 Microsoft 或 Gmail，也建議你檢查一下。

微軟對於尋找和刪除惡意連接器的建議：對受損連接器的回應。

微軟對於尋找和刪除惡意規則的建議：惡意 Exchange 連接器的警示分類。

如果你擁有可以警示新規則、表單或連接器出現，或現有項目被修改的安全監控產品，務必要啟用這個功能。大多數使用者不會自行創建這些項目，因此新出現的項目通常是系統受到侵害的早期指標。

如果有可能，請在所有的電子郵件帳號上啟用抗網路釣魚的多重身份驗證（MFA），尤其是你的電子郵件管理帳號。微軟建議使用支援FIDO的MFA，例如FIDO密碼金鑰。以下是我對這個主題的看法：

別使用容易被釣魚的多重身份驗證，這是大多數的多重身份驗證！
www.linkedin.com/pulse/dont-use-easily-phishable-mfa-thats-most-roger-grimes  

我推薦的優質強力 MFA 列表 
www.linkedin.com/pulse/my-list-good-strong-mfa-roger-grimes

如果您注意到外發電子郵件突然且無法解釋的增加，請更改您的電子郵件登入憑證，並檢查是否有可疑的規則、表單和連接器。

對於不明的連接器，如果你喜歡查看電子郵件標頭，可能會看到5321.MailFrom地址（又稱為MAIL FROM/RECPT TO地址）與5322.From地址（又稱為DISPLAY FROM地址）之間有無法解釋的差異，這在發送的電子郵件中非常明顯。對於大多數人來說，這兩個電子郵件地址是相同的。不明的連接器可能會改變這一點，讓受害者回覆到與他們發送的域名不同的地方，這在現實世界的攻擊中相當常見。

你能做的最好的事情就是讓自己、IT 團隊，和管理層了解，一個簡單的電子郵件帳戶被駭可能會導致嚴重的安全漏洞。如果你懷疑你的電子郵件帳戶被駭或被用於攻擊，且你使用的是 Outlook 和 Exchange（甚至 Microsoft 365），請檢查你的電子郵件規則、表單和 Exchange 連接器。

文章來源: Malicious Connectors Potentially Impact Hundreds of Millions of Microsoft 365 Users