Hack Alerta

Ferramenta M365Pwned Facilita Exploração de Ambientes Microsoft 365 via API Graph

Por Redação Hack Alerta Publicado em 09/03/2026 12:01 Cyber ataques Tempo de leitura: 2 min

Ferramenta M365Pwned permite exploração de ambientes Microsoft 365 via Graph API sem interação do usuário, exigindo auditoria de permissões.

Novo Toolkit de Red Team para M365

Um red teamer operando sob o pseudônimo OtterHacker lançou publicamente o M365Pwned, um par de ferramentas GUI WinForms projetadas para enumerar, pesquisar e exfiltrar dados de ambientes Microsoft 365 usando tokens OAuth de nível de aplicativo, sem exigir interação do usuário.

Construído inteiramente em PowerShell 5.1 e aproveitando a Microsoft Graph API, o toolkit apresenta uma capacidade ofensiva significativa pós-comprometimento para operadores de simulação de adversários que visam inquilinos M365 empresariais.

Componentes e Capacidades

O toolkit consiste em dois componentes principais:

  • MailPwned-GUI.ps1 — Foca no Exchange Online e Outlook. Permite navegar caixas de correio, pesquisar e-mails globais, baixar anexos em massa e enviar e-mails de impersonificação.
  • SharePwned-GUI.ps1 — Foca no SharePoint e OneDrive. Permite navegar sites e drives, pesquisar arquivos e baixar documentos.

Ambas as ferramentas operam sob um aplicativo Azure AD registrado com permissões de aplicativo consentidas pelo administrador e suportam três métodos de autenticação: Client Secret, Certificate Thumbprint e Raw Access Token (pass-the-token).

Limitações e Contornamentos da API

O MailPwned contorna uma limitação chave da Graph API: /v1.0/search/query com entidade message não suporta permissões de aplicativo. O MailPwned aborda isso realizando a enumeração de caixa de correio por usuário seguida de pesquisas por caixa de correio, uma técnica que é funcional e produz uma pegada de auditoria menor quando uma lista UPN é pré-carregada de OSINT.

As permissões-chave exigidas incluem Mail.Read, User.Read.All e opcionalmente Mail.ReadWrite para operações de envio e exclusão.

Recomendações de Defesa

Do ponto de vista de OPSEC, todas as solicitações rotam diretamente para https://graph.microsoft.com, e os logs de auditoria da Graph registrarão o acesso sob a identidade do aplicativo registrado. As equipes de segurança devem auditar as permissões de aplicativo do Azure AD, monitorar o acesso de nível de aplicativo anômalo Mail.Read ou Sites.Read.All e revisar as concessões de consentimento para service principals não interativos com usuário.

A versão CLI do SharePwned, desenvolvida por Ethical-Kaizoku, está disponível separadamente no GitHub, indicando que a comunidade de segurança está ativamente desenvolvendo ferramentas para testar a resiliência de ambientes M365.

Baseado em publicação original de Cyber Security News
Tags: #=m365 #graph api #red team #exfiltração #power shell #segurança #azure ad #pentest #microsoft
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar