Funkcja "Direct Send" w Microsoft 365 wykorzystana w nowej taktyce phishingowej
przez
Ostatnia aktualizacja: 3 czas czytania: 3 minuty
Kluczowe wnioski
- Cyberprzestępcy nadużywają funkcji Direct Send platformy Microsoft 365 do wysyłania wiadomości phishingowych, które omijają kontrole SPF, DKIM i DMARC.
- Atak polega na podszywaniu się pod konta wewnętrzne za pośrednictwem legalnej funkcji przeznaczonej dla urządzeń wewnętrznych, omijając filtry bezpieczeństwa.
- Ładunki obejmują kody QR i załączniki HTML, które kradną dane uwierzytelniające, a niektóre ataki są śledzone przez zagraniczne adresy IP.
- Środki ochrony: włącz Reject Direct Send, egzekwuj ścisłe DMARC, używaj stemplowania nagłówków i poddawaj kwarantannie nieudane kontrole.
Cyberprzestępcy wykorzystują funkcję Direct Send platformy Microsoft 365 do dostarczania bardzo przekonujących wiadomości phishingowych, które wydają się pochodzić od zaufanych użytkowników wewnętrznych, omijając standardowe kontrole uwierzytelniania poczty e-mail, takie jak SPF, DKIM i DMARC..
Ten exploit został udokumentowany przez badaczy w StrongestLayer po tym, jak zaobserwowali, że atakujący z powodzeniem zaatakowali jednego z ich klientów.
Jak działa atak phishingowy Microsoft Direct Send?
Atak nadużywa legalnej funkcji zaprojektowanej w celu ułatwienia drukarkom, skanerom i systemom wewnętrznym wysyłania wiadomości bez złożonego uwierzytelniania. Podszywając się pod konta wewnętrzne, atakujący omijają wiele kontroli opartych na zasadach, które zazwyczaj ekranują wiadomości zewnętrzne, skutecznie omijając zarówno Microsoft Defender jak i bezpiecznym bramom pocztowym innych firm. Dotyczy to w szczególności wdrożeń Microsoft 365/Exchange Online; nawet środowiska, w których użytkownicy korzystają z pakietu Office 2024 jako pakietu biurkowego, mogą zostać dotknięte, jeśli funkcja Direct Send pozostanie włączona w warstwie poczty.
Po wykorzystaniu zaufania do komunikacji wewnętrznej docelowej organizacji, atakujący mogą dostarczać różnorodne złośliwe treści, od ładunków opartych na kodach QR po załączniki HTML, które zbierają dane uwierzytelniające bez uruchamiania typowych zabezpieczeń. W jednym z udokumentowanych przypadków wiadomości phishingowe pochodziły z adresów IP na Ukrainie i we Francji, ale nadal były przetwarzane jako ruch zaufany.
Środki zapobiegawcze
Microsoft wprowadził opcje dla organizacji, aby zastosować niestandardowe stemplowanie nagłówka i zasady kwarantanny dla wiadomości fałszywie twierdzących, że są wewnętrzne. Eksperci ds. bezpieczeństwa zalecają również włączenie Microsoft Odrzuć bezpośrednie wysyłanie i egzekwowanie ścisłej polityki DMARCi poddawanie kwarantannie wszelkich wiadomości e-mail, które nie przejdą testów autentyczności.
Słowa końcowe
Proaktywna ochrona nie jest już opcjonalna, zwłaszcza gdy atakujący nadużywają zaufanych systemów w celu ominięcia tradycyjnych zabezpieczeń. Łącząc środki wzmacniające Microsoft 365 z zaawansowanym egzekwowaniem uwierzytelniania, organizacje mogą drastycznie zmniejszyć swoją ekspozycję na te taktyki.
Platforma zarządzania DMARC PowerDMARC pomaga wdrażać i utrzymywać ścisłe zasady uwierzytelniania, monitorować próby spoofingu w czasie rzeczywistym i powstrzymywać ataki phishingowe, zanim dotrą one do użytkowników. Skontaktuj się z nami już dziś, aby umówić się na bezpłatne demo lub porozmawiać z ekspertem!
Najczęściej zadawane pytania
Czym jest usługa Microsoft 365 Direct Send?
Jest to funkcja Microsoft 365, która umożliwia urządzeniom i aplikacjom w organizacji wysyłanie wiadomości e-mail bez złożonego uwierzytelniania, przeznaczona do komunikacji wewnętrznej.
Dlaczego jest nadużywana przez atakujących?
Funkcja Direct Send umożliwia nieuwierzytelnione wysyłanie wiadomości. W ten sposób atakujący mogą sprawić, że wiadomości e-mail będą wyglądały na wewnętrzne, omijając wiele kontroli bezpieczeństwa.
Jak organizacje mogą się chronić?
Włącz funkcję Microsoftu Reject Direct Send wdrożyć stemplowanie nagłówków, egzekwować ścisłą politykę DMARC i poddawać kwarantannie wiadomości, które nie przejdą testów autentyczności.
Które branże są najbardziej zagrożone?
Niedawne działania były w dużej mierze ukierunkowane na usługi finansowe, produkcję i organizacje opieki zdrowotnej w USA.
Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC
Ahona jest Marketing Managerem w PowerDMARC, z ponad 5-letnim doświadczeniem w pisaniu na tematy związane z cyberbezpieczeństwem, specjalizującym się w bezpieczeństwie domen i poczty elektronicznej. Ahona posiada dyplom ukończenia studiów podyplomowych w zakresie dziennikarstwa i komunikacji, umacniając swoją karierę w sektorze bezpieczeństwa od 2019 roku.
Latest posts by Ahona Rudra (zobacz wszystkie)
- Czym jest DANE? Wyjaśnienie uwierzytelniania nazwanych podmiotów w oparciu o DNS (2026) - 20 kwietnia 2026 r.
- Podstawy bezpieczeństwa VPN: najlepsze praktyki w zakresie ochrony prywatności – 14 kwietnia 2026 r.
- Recenzja MXtoolbox: funkcje, wrażenia użytkowników, zalety i wady (2026) – 14 kwietnia 2026 r.
