Microsoft 365's "Direct Send" functie misbruikt in nieuwe phishing tactiek
door
Laatst bijgewerkt: 3 leestijd: 3 minuten
Belangrijkste Conclusies
- Cybercriminelen misbruiken Microsoft 365's Direct Send om phishing-e-mails te versturen die SPF-, DKIM- en DMARC-controles omzeilen.
- De aanval doet zich voor als interne accounts via een legitieme functie die bedoeld is voor interne apparaten, waardoor beveiligingsfilters worden omzeild.
- De payloads omvatten QR-codes en HTML-bijlagen waarmee referenties worden gestolen, waarbij sommige aanvallen worden getraceerd naar buitenlandse IP-adressen.
- Beschermingsmaatregelen: Reject Direct Send inschakelen, strikte DMARC afdwingen, headerstempeling gebruiken en mislukte controles in quarantaine plaatsen.
Cybercriminelen maken misbruik van de Direct Send-functie van Microsoft 365 om zeer overtuigende phishing-e-mails af te leveren die afkomstig lijken te zijn van vertrouwde interne gebruikers, waarbij standaard verificatiecontroles van e-mails zoals SPF, DKIM en DMARC..
De exploit werd gedocumenteerd door onderzoekers bij StrongestLayer nadat aanvallers met succes een van hun klanten hadden aangevallen.
Hoe werkt de Microsoft Direct Send Phishing-aanval?
De aanval maakt misbruik van een legitieme functie die is ontworpen om printers, scanners en interne systemen te helpen bij het verzenden van berichten zonder complexe authenticatie. Door zich voor te doen als interne accounts, omzeilen aanvallers veel beleidsgebaseerde controles die normaal gesproken externe berichten screenen. Microsoft Defender en beveiligde e-mailgateways van derden te omzeilen. Dit is vooral van invloed op Microsoft 365/Exchange Online implementaties; zelfs omgevingen waar gebruikers Office 2024 als hun desktop suite gebruiken kunnen worden beïnvloed als Direct Send ingeschakeld blijft op de maillaag.
Zodra het vertrouwen in de interne communicatie van de beoogde organisatie is misbruikt, kunnen aanvallers een reeks kwaadaardige inhoud leveren, van op QR-codes gebaseerde payloads tot HTML-bijlagen, waarmee inloggegevens worden verzameld zonder dat de gebruikelijke beveiligingsmaatregelen worden geactiveerd. In één gedocumenteerd geval waren phishing-e-mails afkomstig van IP-adressen in Oekraïne en Frankrijk, maar werden ze toch verwerkt als vertrouwd verkeer.
Preventieve maatregelen
Microsoft heeft opties geïntroduceerd voor organisaties om aangepaste headerstempels en quarantainebeleidsregels toe te passen voor berichten die ten onrechte beweren intern te zijn. Beveiligingsexperts raden ook aan om Microsoft's instelling Direct verzenden weigeren in te schakelen en een strikt DMARC-beleiden e-mail in quarantaine te plaatsen als de echtheidscontroles mislukken.
Laatste woorden
Proactieve verdediging is niet langer optioneel, vooral wanneer aanvallers vertrouwde systemen misbruiken om traditionele beveiliging te omzeilen. Door Microsoft 365 hardening maatregelen te combineren met geavanceerde authenticatie handhaving, kunnen organisaties hun blootstelling aan deze tactieken drastisch verminderen.
Met het DMARC-beheerplatform van PowerDMARC kunt u een strikt verificatiebeleid implementeren en handhaven, pogingen tot spoofing in realtime bewaken en phishing-aanvallen stoppen voordat ze uw gebruikers bereiken. Neem vandaag nog contact op vandaag nog om een gratis demo in te plannen of met een expert te spreken!
FAQs
Wat is Microsoft 365 Direct Send?
Dit is een Microsoft 365-functie waarmee apparaten en toepassingen binnen een organisatie e-mail kunnen verzenden zonder complexe verificatie, bedoeld voor interne communicatie.
Waarom wordt het misbruikt door aanvallers?
Met de functie Direct verzenden kunnen berichten ongeauthenticeerd worden verzonden. Daarbij kunnen aanvallers e-mails intern laten lijken, waardoor veel beveiligingscontroles worden omzeild.
Hoe kunnen organisaties zichzelf beschermen?
Schakel Microsofts Direct verzenden afwijzen instellen, header stamping implementeren, een strikt DMARC-beleid afdwingen en berichten die niet op echtheid controleren in quarantaine plaatsen.
Welke sectoren lopen het meeste risico?
Recente activiteiten waren vooral gericht op financiële dienstverleners, productiebedrijven en organisaties in de gezondheidszorg in de VS.
Expert domein- en e-mailbeveiliging bij PowerDMARC
Ahona is marketingmanager bij PowerDMARC en heeft meer dan vijf jaar ervaring met het schrijven over cybersecurity, gespecialiseerd in domein- en e-mailbeveiliging. Ahona heeft een masterdiploma in journalistiek en communicatie, en heeft sinds 2019 haar carrière in de beveiligingssector verder uitgebouwd.
Laatste berichten van Ahona Rudra (Bekijk alle berichten)
