La funzione "Direct Send" di Microsoft 365 sfruttata in una nuova tattica di phishing
di
Ultimo aggiornamento: 3 Tempo di lettura: 3 minuti
I punti chiave da prendere in considerazione
- I criminali informatici stanno abusando di Direct Send di Microsoft 365 per inviare e-mail di phishing che eludono i controlli SPF, DKIM e DMARC.
- L'attacco impersona gli account interni attraverso una funzione legittima destinata ai dispositivi interni, eludendo i filtri di sicurezza.
- I payload includono codici QR e allegati HTML che rubano le credenziali, con alcuni attacchi riconducibili a IP stranieri.
- Misure di protezione: abilitare il rifiuto dell'invio diretto, applicare un DMARC rigoroso, utilizzare il timbro dell'intestazione e mettere in quarantena i controlli non riusciti.
I criminali informatici sfruttano la funzione Direct Send di Microsoft 365 per inviare e-mail di phishing molto convincenti che sembrano provenire da utenti interni fidati, aggirando i controlli standard di autenticazione delle e-mail quali SPF, DKIM e DMARC.
L'exploit è stato documentato dai ricercatori di StrongestLayer dopo aver osservato gli aggressori colpire con successo uno dei loro clienti.
Come funziona l'attacco di phishing Microsoft Direct Send
L'attacco sfrutta una funzione legittima progettata per aiutare stampanti, scanner e sistemi interni a inviare messaggi senza complesse autenticazioni. Impersonando gli account interni, gli aggressori eludono molti controlli basati sui criteri che in genere schermano i messaggi esterni, riuscendo a eludere sia i controlli di Microsoft Defender e ai gateway di posta elettronica sicuri di terze parti. Ciò riguarda in particolare le distribuzioni di Microsoft 365/Exchange Online; anche gli ambienti in cui gli utenti utilizzano Office 2024 come suite desktop possono essere colpiti se Direct Send rimane abilitato a livello di posta.
Una volta compromessa la fiducia nella comunicazione interna dell'organizzazione presa di mira, gli aggressori possono inviare una serie di contenuti dannosi, dai payload basati su codici QR agli allegati HTML, che raccolgono le credenziali senza attivare le normali difese. In un caso documentato, le e-mail di phishing provenivano da indirizzi IP in Ucraina e Francia, ma sono state comunque elaborate come traffico affidabile.
Misure preventive
Microsoft ha introdotto opzioni che consentono alle organizzazioni di applicare criteri personalizzati di timbratura dell'intestazione e di quarantena per i messaggi che dichiarano falsamente di essere interni. Gli esperti di sicurezza consigliano inoltre di attivare Microsoft di rifiutare l'invio diretto di Microsoft, di applicare un rigorosi criteri DMARCe di mettere in quarantena tutte le e-mail che non superano i controlli di autenticità.
Parole finali
Le difese proattive non sono più facoltative, soprattutto quando gli aggressori abusano dei sistemi affidabili per aggirare la sicurezza tradizionale. Combinando le misure di hardening di Microsoft 365 con l'applicazione avanzata dell'autenticazione, le organizzazioni possono ridurre drasticamente la loro esposizione a queste tattiche.
La piattaforma di gestione DMARC di PowerDMARC vi aiuta a implementare e mantenere politiche di autenticazione rigorose, a monitorare i tentativi di spoofing in tempo reale e a bloccare gli attacchi di phishing prima che raggiungano i vostri utenti. Contattate oggi stesso per programmare una demo gratuita o parlare con un esperto!
Domande frequenti
Che cos'è Microsoft 365 Direct Send?
È una funzione di Microsoft 365 che consente ai dispositivi e alle applicazioni di un'organizzazione di inviare e-mail senza bisogno di complesse autenticazioni, per le comunicazioni interne.
Perché gli aggressori ne abusano?
La funzione Direct Send consente l'invio di messaggi non autenticati. In questo modo gli aggressori possono far apparire le e-mail come interne, aggirando molti controlli di sicurezza.
Come possono proteggersi le organizzazioni?
Abilitare la funzione di Microsoft Rifiuta invio diretto di Microsoft, implementare il timbro dell'intestazione, applicare una politica DMARC rigorosa e mettere in quarantena i messaggi che non superano i controlli di autenticità.
Quali sono i settori più a rischio?
Le attività più recenti hanno preso di mira soprattutto i servizi finanziari, l'industria manifatturiera e le organizzazioni sanitarie negli Stati Uniti.
Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC
Ahona è la Marketing Manager di PowerDMARC, con oltre 5 anni di esperienza nella scrittura di argomenti di cybersecurity, specializzata in sicurezza dei domini e delle e-mail. Ahona ha conseguito una laurea in Giornalismo e Comunicazione, consolidando la sua carriera nel settore della sicurezza dal 2019.
Ultimi messaggi di Ahona Rudra (vedi tutti)
- Che cos'è DANE? Spiegazione dell'autenticazione delle entità denominate basata sul DNS (2026) - 20 aprile 2026
- VPN: nozioni di base sulla sicurezza. Le migliori pratiche per proteggere la tua privacy - 14 aprile 2026
- Recensione di MXtoolbox: caratteristiche, esperienze degli utenti, pro e contro (2026) - 14 aprile 2026
