规则和通知功能的滥用
Outlook 提供了一项“规则和通知”(Rules and Alerts)的功能,可以设置邮件接收和发送的策略,分为规则条件和动作,即用户定义当邮件满足某些条件时(如邮件主题包含特定词语...主页设置功能的滥用
在 Outlook 中,提供了一个功能允许用户在使用 Outlook 的时候设置收件箱界面的主页,可以通过收件箱的属性来设置加载外部 URL,渲染收件箱界面。...因此,当已拥有合法邮箱凭证的前提下,可以利用该功能,为邮箱用户设置收件箱主页 URL 属性,将其指向包含恶意代码的页面,当用户在 Outlook 中浏览刷新收件箱时,将触发加载恶意页面,执行恶意脚本代码...Outlook 收件箱主页指向的 URL 在 Outlook 中通过 iframe 标签加载,其执行 wscript 或 vbscript 受沙箱环境限制,无法使用脚本代码创建敏感的恶意对象,即无法直接通过...,利用合法的邮箱凭证向服务端写入收件箱主页URL属性,当用户使用 Outlook 并从 Exchange 服务端同步该设置时,其随后对收件箱的刷新浏览将触发加载恶意网页,并执行恶意代码。