Exchange Online

🔍 Contexte Publié le 9 juin 2026 par Lucas Dodgson, Tobias Oberdörfer et Robin Hilber (InfoGuard Labs), cet article de recherche offensive décrit une vulnérabilité de configuration baptisée Ghost-Sender, affectant Microsoft Exchange Online utilisé en combinaison avec un enregistrement MX externe (solution de filtrage tiers ou anti-spam). ⚠️ Description de la vulnérabilité Ghost-Sender exploite le comportement par défaut d’Exchange Online qui accepte tout email entrant directement adressé au tenant, indépendamment des résultats des contrôles SPF, DKIM et DMARC. Lorsqu’un enregistrement MX externe est configuré (ex : Mailgun, solution anti-spam tierce), un attaquant peut contourner ce filtrage en envoyant directement au endpoint Exchange Online (*.mail.protection.outlook.com), livrant des emails usurpés depuis n’importe quel expéditeur interne ou externe. ...

Selon BleepingComputer, Microsoft a rappelé que Exchange Server 2016 et Exchange Server 2019 ont atteint leur fin de support et a conseillé aux administrateurs IT de planifier une transition. Microsoft a officiellement annoncé la fin du support pour Exchange Server 2016 et 2019 à compter du 14 octobre 2025. L’entreprise invite les administrateurs à mettre à jour leurs serveurs vers Exchange Server Subscription Edition (SE) ou à migrer vers Exchange Online, afin de rester protégés contre les vulnérabilités futures. ...

Source: Microsoft Community Hub (techcommunity.microsoft.com) — Microsoft annonce que les clients Exchange Online utilisant un domaine MOERA (onmicrosoft.com) pour envoyer des emails doivent migrer vers des domaines personnalisés, et introduit une limitation d’envoi pour réduire les abus et améliorer la réputation/délivrabilité des emails. 📧 Contexte et raison: Les domaines par défaut MOERA (par ex. contoso.onmicrosoft.com) servent au démarrage/test des locataires mais ne reflètent pas l’identité de marque et offrent un contrôle limité. Parce que ces domaines sont partagés, leur réputation est collective et dégradée par des abus (envois de spam depuis de nouveaux tenants avant intervention), impactant les usages légitimes. ...

Selon bleepingcomputer.com, Microsoft a publié un avis de sécurité concernant une vulnérabilité haute gravité dans les déploiements Exchange Server hybrides qui peut permettre une élévation de privilèges dans Exchange Online, souvent sans traces auditables dans Microsoft 365. Dans les configurations hybrides, les serveurs Exchange on-premises et Exchange Online partagent le même service principal (identité de service) utilisé pour l’authentification. En abusant de cette identité partagée, un acteur ayant le contrôle de l’Exchange on-prem peut forger/manipuler des jetons de confiance ou des appels API acceptés par le cloud comme légitimes. ...

🔍 Problème détecté Depuis le 22 avril 2025 à 09:24 UTC, certains utilisateurs d’Exchange Online ont constaté que des emails d’Adobe étaient faussement signalés comme spam. Le système déclenchait des alertes indiquant un clic potentiel sur une URL malveillante, bien que ces liens soient légitimes. 🧠 Cause identifiée Microsoft a expliqué que le modèle de machine learning (ML) utilisé pour détecter les emails à risque classait à tort les messages d’Adobe comme du spam. Ces messages étaient trop similaires à des emails de type spam réellement malveillants. ...