Direct Send est une fonction puissante, mais entre de mauvaises mains, c’est aussi un vecteur d’attaque dangereux.
L’option « Direct Send » relativement méconnue dans Microsoft 365 semble avoir été exploitée pour des e-mails de phishing. Les e-mails semblent avoir été envoyés en interne au sein de l’entreprise affectée. Selon une étude de la plateforme SaaS américaine Varonis, plus de soixante-dix organisations ont été victimes depuis mai.
Qu’est-ce que Direct Send ?
Direct Send est conçu pour les imprimantes et les scanners qui doivent pouvoir envoyer des e-mails via le domaine de l’organisation elle-même sans authentification, selon Bleeping Computer. En pratique, il suffit d’entrer une seule ligne PowerShell pour envoyer des e-mails via le smart host de l’entreprise, contournant presque toutes les règles de filtrage. Les attaquants utilisent des adresses IP externes, mais passent quand même la sécurité car les messages sont marqués comme « de confiance interne ».
E-mails de phishing envoyés en interne
Les e-mails imitent des notifications de messagerie vocale ou de fax et contiennent le logo de la cible ainsi qu’un PDF avec un code QR. Scanner le code mène directement à une page de connexion Microsoft contrefaite. Ainsi, les identifiants sont volés sans que le destinataire n’ait à cliquer sur quoi que ce soit. Il n’y a pas non plus de liens externes dans le fichier PDF, afin de pouvoir à nouveau contourner ces filtres traditionnels.
Désactivation
Microsoft a introduit en avril l’option « Reject Direct Send », permettant aux organisations de désactiver cette fonction. Varonis recommande également une sensibilisation aux codes QR dans les e-mails. Sans contrôles supplémentaires, il ne suffit pas de considérer un e-mail comme sûr simplement parce qu’il a été envoyé en interne.
lire aussi