Beveiligingsonderzoekers signaleren dat Outlook-add-ins in Microsoft 365 misbruikt kunnen worden om e-mailgegevens te exfiltreren zonder zichtbaarheid in auditlogs. De techniek benut beperkingen in logging binnen Outlook Web Access en blijft daarmee buiten het zicht van standaard monitoring.
Onderzoek van Varonis laat zien dat kwaadwillenden Outlook-add-ins kunnen inzetten als onzichtbaar exfiltratiekanaal. De add-ins functioneren als webapplicaties binnen Outlook en kunnen worden geïnstalleerd via Outlook Web Access. Juist daar ontbreekt auditlogging voor zowel installatie als uitvoering van add-ins, ook wanneer Microsoft 365-auditlogging volledig is ingeschakeld.
De onderzoekers tonen aan dat een add-in kan meeluisteren op het moment dat een gebruiker een e-mail verzendt. Onderwerpregels, inhoud, ontvangers en metadata worden daarbij onderschept en automatisch doorgestuurd naar een externe server. Omdat dit gebeurt binnen het normale gebruik van Outlook Web Access, verschijnen deze activiteiten niet in de Unified Audit Log.
Dat verschil tussen omgevingen speelt een centrale rol. In de desktopversie van Outlook wordt de installatie van add-ins vastgelegd in Windows Event Logs. In de webvariant ontbreekt die registratie volledig. Daardoor kunnen add-ins langdurig actief blijven zonder dat beveiligingsteams daar zicht op hebben.
Volgens Varonis maakt dit meerdere aanvalsscenario’s mogelijk. Een gecompromitteerd gebruikersaccount volstaat om een add-in te installeren die structureel meeleest met uitgaande communicatie. Ook misbruik door insiders of het organisatiebreed uitrollen van een add-in via beheerdersrechten behoort tot de mogelijkheden. Daarnaast wijst het onderzoek op supply chain-risico’s, waarbij ogenschijnlijk legitieme add-ins data extern verwerken zonder dat dit controleerbaar is via logging.
De bevindingen sluiten aan bij bredere zorgen rond zichtbaarheid en governance binnen cloud-ecosystemen. Functionaliteit die sterk leunt op extensies en add-ins vergroot het aanvalsoppervlak, terwijl logging en toezicht daar niet altijd in meegroeien. In omgevingen waar e-mail een primaire drager is van gevoelige informatie, ontstaat zo een lastig te detecteren datalekrisico.
Varonis pleit voor uitbreiding van auditlogging rond add-ins, specifiek binnen Outlook Web Access, en voor meer fijnmazige registratie van add-in-activiteiten. Tot die tijd blijft detectie grotendeels afhankelijk van aanvullende beveiligingsmaatregelen buiten de standaard Microsoft 365-logs.
