đ Contexte
Publié le 9 juin 2026 par Lucas Dodgson, Tobias Oberdörfer et Robin Hilber (InfoGuard Labs), cet article de recherche offensive décrit une vulnérabilité de configuration baptisée Ghost-Sender, affectant Microsoft Exchange Online utilisé en combinaison avec un enregistrement MX externe (solution de filtrage tiers ou anti-spam).
â ïž Description de la vulnĂ©rabilitĂ©
Ghost-Sender exploite le comportement par dĂ©faut d’Exchange Online qui accepte tout email entrant directement adressĂ© au tenant, indĂ©pendamment des rĂ©sultats des contrĂŽles SPF, DKIM et DMARC. Lorsqu’un enregistrement MX externe est configurĂ© (ex : Mailgun, solution anti-spam tierce), un attaquant peut contourner ce filtrage en envoyant directement au endpoint Exchange Online (*.mail.protection.outlook.com), livrant des emails usurpĂ©s depuis n’importe quel expĂ©diteur interne ou externe.
Pour les expĂ©diteurs internes, Outlook rĂ©sout mĂȘme la photo de profil de l’expĂ©diteur usurpĂ©, rendant l’attaque particuliĂšrement convaincante.
đ Ătendue et impact
- Plus de 20% des domaines bug bounty utilisant Exchange Online sont vulnérables
- Moins de 50% des environnements avec MX externe ont une mitigation appliquée
- Exploitation possible avec un simple one-liner PowerShell (
Send-MailMessage) - Usages malveillants possibles : fausses factures, phishing CEO fraud, campagnes de phishing avec expéditeurs arbitraires
- Abus actif confirmé par le support Microsoft dÚs le 21 avril 2026
đ ïž Configurations vulnĂ©rables et sĂ©curisĂ©es
Vulnérables :
- MX externe sans configuration supplémentaire
- Connecteur « Your organization’s email server » (avec ou sans Enhanced Filtering)
- Politiques anti-phishing/anti-spam avec « Honor DMARC » activé
- Presets Standard et Strict Protection
Sécurisées :
- MX pointant directement vers Exchange Online Protection
- Connecteur « Partner Organization » avec wildcard + restriction par certificat ou IP
- Transport rule (priorité 0) mettant en quarantaine les emails hors IP approuvées
đ Timeline de divulgation
- 21 avril 2026 : Signalement Ă MSRC â fermĂ© comme non-vulnĂ©rabilitĂ©
- 22 avril 2026 : Support gĂ©nĂ©ral rĂ©vĂšle une campagne d’usurpation active depuis le 21 avril
- 22 avril 2026 : Mitigation interne déployée puis révoquée le 27 avril
- 29 mai 2026 : Microsoft qualifie cela de « limitation architecturale connue » et non d’une vulnĂ©rabilitĂ© produit
- 9 juin 2026 : Publication publique avec outil de test https://ghost-sender.com/
đ Type d’article
Il s’agit d’une publication de recherche offensive combinant analyse technique dĂ©taillĂ©e, divulgation responsable et mise Ă disposition d’un outil de test public, visant Ă sensibiliser les organisations utilisant Exchange Online avec un MX externe.
đ§ TTPs et IOCs dĂ©tectĂ©s
TTP
- T1566 â Phishing (Initial Access)
- T1566.002 â Phishing: Spearphishing Link (Initial Access)
- T1036 â Masquerading (Defense Evasion)
- T1078 â Valid Accounts (Defense Evasion)
- T1199 â Trusted Relationship (Initial Access)
đĄ Indice de vĂ©rification factuelle : 46/100 (moyenne)
- ⏠labs.infoguard.ch â source non rĂ©fĂ©rencĂ©e (0pts)
- â 16925 chars â texte complet (fulltext extrait) (15pts)
- â 2 IOC(s) (6pts)
- ⏠0/2 IOCs confirmés externellement (0pts)
- â 5 TTPs MITRE identifiĂ©es (15pts)
- â date extraite du HTML source (10pts)
- ⏠aucun acteur de menace nommé (0pts)
- ⏠pas de CVE à vérifier (0pts)
đ Source originale : https://labs.infoguard.ch/posts/ghost-sender/