I punti chiave da prendere in considerazione
- I criminali informatici stanno abusando di Direct Send di Microsoft 365 per inviare e-mail di phishing che eludono i controlli SPF, DKIM e DMARC.
- L'attacco impersona gli account interni attraverso una funzione legittima destinata ai dispositivi interni, eludendo i filtri di sicurezza.
- I payload includono codici QR e allegati HTML che rubano le credenziali, con alcuni attacchi riconducibili a IP stranieri.
- Misure di protezione: abilitare il rifiuto dell'invio diretto, applicare un DMARC rigoroso, utilizzare il timbro dell'intestazione e mettere in quarantena i controlli non riusciti.
I criminali informatici sfruttano la funzione Direct Send di Microsoft 365 per inviare e-mail di phishing molto convincenti che sembrano provenire da utenti interni fidati, aggirando i controlli standard di autenticazione delle e-mail quali SPF, DKIM e DMARC.
L'exploit è stato documentato dai ricercatori di StrongestLayer dopo aver osservato gli aggressori colpire con successo uno dei loro clienti.
Come funziona l'attacco di phishing Microsoft Direct Send
L'attacco sfrutta una funzione legittima progettata per aiutare stampanti, scanner e sistemi interni a inviare messaggi senza complesse autenticazioni. Impersonando gli account interni, gli aggressori eludono molti controlli basati sui criteri che in genere schermano i messaggi esterni, riuscendo a eludere sia i controlli di Microsoft Defender e ai gateway di posta elettronica sicuri di terze parti. Ciò riguarda in particolare le distribuzioni di Microsoft 365/Exchange Online; anche gli ambienti in cui gli utenti utilizzano Office 2024 come suite desktop possono essere colpiti se Direct Send rimane abilitato a livello di posta.
Una volta compromessa la fiducia nella comunicazione interna dell'organizzazione presa di mira, gli aggressori possono inviare una serie di contenuti dannosi, dai payload basati su codici QR agli allegati HTML, che raccolgono le credenziali senza attivare le normali difese. In un caso documentato, le e-mail di phishing provenivano da indirizzi IP in Ucraina e Francia, ma sono state comunque elaborate come traffico affidabile.
Misure preventive
Microsoft ha introdotto opzioni che consentono alle organizzazioni di applicare criteri personalizzati di timbratura dell'intestazione e di quarantena per i messaggi che dichiarano falsamente di essere interni. Gli esperti di sicurezza consigliano inoltre di attivare Microsoft di rifiutare l'invio diretto di Microsoft, di applicare un rigorosi criteri DMARCe di mettere in quarantena tutte le e-mail che non superano i controlli di autenticità.
Parole finali
Le difese proattive non sono più facoltative, soprattutto quando gli aggressori abusano dei sistemi affidabili per aggirare la sicurezza tradizionale. Combinando le misure di hardening di Microsoft 365 con l'applicazione avanzata dell'autenticazione, le organizzazioni possono ridurre drasticamente la loro esposizione a queste tattiche.
La piattaforma di gestione DMARC di PowerDMARC vi aiuta a implementare e mantenere politiche di autenticazione rigorose, a monitorare i tentativi di spoofing in tempo reale e a bloccare gli attacchi di phishing prima che raggiungano i vostri utenti. Contattate oggi stesso per programmare una demo gratuita o parlare con un esperto!
Domande frequenti
Che cos’è Microsoft 365 Direct Send?
È una funzionalità di Microsoft 365 che consente ai dispositivi e alle applicazioni all'interno di un'organizzazione di inviare e-mail senza complesse procedure di autenticazione, pensata per la comunicazione interna.
Perché viene sfruttata dagli hacker?
La funzione Direct Send consente l'invio di messaggi senza autenticazione. In questo modo gli hacker possono far sembrare che le e-mail provengano dall'interno dell'azienda, aggirando numerosi controlli di sicurezza.
Come possono proteggersi le organizzazioni?
Abilitare la funzione di Microsoft "Reject Direct Send" di Microsoft, implementare l’header stamping, applicare una politica DMARC rigorosa e mettere in quarantena i messaggi che non superano i controlli di autenticità.
Quali sono i settori più a rischio?
Le recenti attività hanno preso di mira in modo massiccio i servizi finanziari, il settore manifatturiero e le organizzazioni sanitarie negli Stati Uniti.
- I migliori server MCP DMARC del 2026: integra l'intelligenza artificiale nei tuoi dati di autenticazione delle e-mail - 9 luglio 2026
- Caso di studio DMARC MSP: The Great Geek amplia i servizi di sicurezza e-mail per le PMI con PowerDMARC - 25 giugno 2026
- Come funziona lo spoofing delle e-mail come servizio (Email Spoofing-as-a-Service) e come contrastarlo - 24 giugno 2026

