M365Pwned — enumeração, descoberta e exfiltração de dados de ambientes Microsoft 365

Um conjunto de duas utilidades para operações de Red Team em ambientes Microsoft 365, que permitem a descoberta e exfiltração de dados do Exchange Online e SharePoint/OneDrive usando tokens OAuth de nível de aplicativo. Opera via Microsoft Graph API e requer um aplicativo Azure AD pré-registrado com permissões de Aplicativo consentidas pelo administrador.

MailPwned‑GUI.ps1: 📍 Detecta credenciais em caixas de correio (IDs, senhas, acesso VPN). 📍 Identifica mecanismos de persistência (e-mails com códigos MFA, links de redefinição de senha, confirmações de token de acesso). 📍 Coleta informações do sistema e do projeto. 📍 Baixa anexos em massa com base em critérios de pesquisa personalizados.

SharePwned‑GUI.ps1: 📍 Pesquisa credenciais e arquivos de configuração (.env) no SharePoint e OneDrive. 📍 Analisa estruturas de sites de projetos. 📍 Baixa arquivos de interesse minimizando traços visíveis nos logs.

Comparado ao GraphRunner e GraphSpy, o M365Pwned se destaca com sua interface gráfica e foco em tokens OAuth de nível de aplicativo, mas fica aquém dessas ferramentas em automação e escalabilidade de scripts CLI.

📎 Ferramenta: https://github.com/OtterHacker/M365Pwned

💬 Discutir