Source: Rapid7 (blog) — Rapid7 signale une augmentation marquée d’abus de la fonctionnalité Direct Send de Microsoft 365 par des acteurs malveillants, afin d’envoyer des emails usurpant l’interne et contournant les contrôles de sécurité classiques.
Résumé de la menace:
- Des campagnes de phishing utilisent la fonctionnalité légitime Direct Send pour envoyer des emails non authentifiés qui semblent provenir de l’organisation elle-même.
- Cette technique permet de contourner des contrôles de messagerie standards et de passer sous les radars de certaines protections.
Détails techniques et détection:
- Direct Send autorise l’envoi d’emails sans authentification, ce que les attaquants exploitent pour le spoofing interne.
- Les opportunités de détection sont limitées en raison de la conception de la fonctionnalité et de lacunes de télémétrie, ce qui impose de concentrer la surveillance sur les activités de connexion ultérieures.
Mesures de mitigation recommandées par Rapid7:
- Désactiver Direct Send via la commande PowerShell:
Set-OrganizationConfig -RejectDirectSend $true. - Si maintien nécessaire, appliquer des contrôles stricts:
- Connecteurs entrants dédiés et restreints aux adresses IP publiques autorisées.
- Application d’IP statiques dans les enregistrements SPF et enforcement du hardfail SPF dans EOP.
- Politiques DMARC strictes (p=reject) et politiques Anti-Spoofing.
- Marquer ou mettre en quarantaine les emails internes non authentifiés.
- Activer MFA avec des Conditional Access Policies.
TTPs observés:
- Abus d’une fonctionnalité légitime (Direct Send) pour l’envoi d’emails non authentifiés usurpant des adresses internes.
- Contournement des contrôles de sécurité email standards et exploitation de lacunes de télémétrie, avec pivot potentiel vers des tentatives de connexion ultérieures.
Conclusion: Il s’agit d’une alerte de sécurité visant à signaler une hausse d’activité malveillante exploitant Microsoft 365 Direct Send et à détailler des contrôles de configuration et d’authentification recommandés.
🔗 Source originale : https://www.rapid7.com/blog/post/dr-microsoft-365-direct-send-abuse