Microsoft 365s "Direct Send"-Funktion wird für neue Phishing-Taktik ausgenutzt
von
Zuletzt aktualisiert: 3 Lesezeit: 3 Minuten
Wichtigste Erkenntnisse
- Cyberkriminelle missbrauchen die Direct Send-Funktion von Microsoft 365, um Phishing-E-Mails zu versenden, die SPF-, DKIM- und DMARC-Prüfungen umgehen.
- Der Angriff gibt sich über eine legitime Funktion, die für interne Geräte gedacht ist, als interne Konten aus und umgeht so die Sicherheitsfilter.
- Zu den Nutzdaten gehören QR-Codes und HTML-Anhänge, die Anmeldedaten stehlen, wobei einige Angriffe zu ausländischen IPs zurückverfolgt wurden.
- Schutzmaßnahmen: Aktivieren Sie Reject Direct Send, erzwingen Sie striktes DMARC, verwenden Sie Header Stamping und stellen Sie fehlgeschlagene Prüfungen unter Quarantäne.
Cyberkriminelle nutzen die Direktsendefunktion von Microsoft 365 aus, um äußerst überzeugende Phishing-E-Mails zu versenden, die scheinbar von vertrauenswürdigen internen Benutzern stammen, und umgehen dabei standardmäßige E-Mail-Authentifizierungsprüfungen wie SPF, DKIM und DMARC.
Die Schwachstelle wurde von Forschern dokumentiert bei StrongestLayer dokumentiert, nachdem sie beobachtet hatten, dass Angreifer erfolgreich einen ihrer Kunden angriffen.
Wie funktioniert der Microsoft Direct Send Phishing-Angriff?
Der Angriff missbraucht eine legitime Funktion, die Druckern, Scannern und internen Systemen helfen soll, Nachrichten ohne komplexe Authentifizierung zu senden. Indem sie sich als interne Konten ausgeben, umgehen die Angreifer viele richtlinienbasierte Prüfungen, mit denen externe Nachrichten normalerweise überprüft werden, und umgehen so erfolgreich sowohl den Microsoft Defender und sichere E-Mail-Gateways von Drittanbietern. Dies betrifft vor allem Microsoft 365/Exchange Online-Bereitstellungen; auch Umgebungen, in denen Benutzer Office 2024 als Desktop-Suite verwenden, können betroffen sein, wenn Direct Send auf der E-Mail-Ebene aktiviert bleibt.
Sobald das Vertrauen in die interne Kommunikation des Zielunternehmens ausgenutzt ist, können Angreifer eine Reihe von schädlichen Inhalten bereitstellen, von QR-Code-basierten Payloads bis hin zu HTML-Anhängen, die Anmeldedaten sammeln, ohne die üblichen Abwehrmechanismen auszulösen. In einem dokumentierten Fall stammten Phishing-E-Mails von IP-Adressen in der Ukraine und Frankreich, wurden aber dennoch als vertrauenswürdiger Datenverkehr verarbeitet.
Vorbeugende Maßnahmen
Microsoft hat Optionen für Unternehmen eingeführt, um benutzerdefinierte Kopfzeilenstempel und Quarantäne-Richtlinien für Nachrichten anzuwenden, die fälschlicherweise vorgeben, intern zu sein. Sicherheitsexperten empfehlen außerdem die Aktivierung von Microsofts Einstellung Direct Send abweisen Einstellung zu aktivieren und eine strenge DMARC-Richtlinieund die Quarantäne aller E-Mails, die die Authentizitätsprüfung nicht bestehen.
Abschließende Worte
Proaktive Verteidigungsmaßnahmen sind nicht länger optional, insbesondere wenn Angreifer vertrauenswürdige Systeme missbrauchen, um traditionelle Sicherheitsmaßnahmen zu umgehen. Durch die Kombination von Microsoft 365-Härtungsmaßnahmen mit fortschrittlicher Authentifizierungsdurchsetzung können Unternehmen ihre Anfälligkeit für diese Taktiken drastisch reduzieren.
Die DMARC-Verwaltungsplattform von PowerDMARC hilft Ihnen, strenge Authentifizierungsrichtlinien zu implementieren und aufrechtzuerhalten, Spoofing-Versuche in Echtzeit zu überwachen und Phishing-Angriffe zu stoppen, bevor sie Ihre Benutzer erreichen. Kontaktieren Sie uns um eine kostenlose Demo zu vereinbaren oder mit einem Experten zu sprechen!
FAQs
Was ist Microsoft 365 Direct Send?
Es handelt sich um eine Funktion von Microsoft 365, mit der Geräte und Anwendungen innerhalb einer Organisation E-Mails ohne komplexe Authentifizierung senden können, was für die interne Kommunikation gedacht ist.
Warum wird sie von Angreifern missbraucht?
Die Funktion "Direkt senden" ermöglicht den unauthentifizierten Versand von Nachrichten. Dadurch können Angreifer E-Mails intern erscheinen lassen und viele Sicherheitsüberprüfungen umgehen.
Wie können sich Unternehmen schützen?
Aktivieren Sie Microsofts Direktes Senden ablehnen Einstellung, setzen Sie Header Stamping ein, setzen Sie eine strenge DMARC-Richtlinie durch und stellen Sie Nachrichten, die die Authentizitätsprüfung nicht bestehen, unter Quarantäne.
Welche Branchen sind am meisten gefährdet?
Die jüngsten Aktivitäten zielten vor allem auf Finanzdienstleister, das verarbeitende Gewerbe und Unternehmen des Gesundheitswesens in den USA ab.
Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC
Ahona ist Marketing-Managerin bei PowerDMARC und verfügt über mehr als 5 Jahre Erfahrung im Schreiben über Cybersicherheitsthemen, insbesondere im Bereich Domain- und E-Mail-Sicherheit. Ahona hat einen Postgraduierten-Abschluss in Journalismus und Kommunikation und ist seit 2019 in der Sicherheitsbranche tätig.
Neueste Beiträge von Ahona Rudra (alle anzeigen)
