Microsoft 365-functie ‘Direct Send’ misbruikt voor phishing

Microsoft 365-functie ‘Direct Send’ misbruikt voor phishing

Direct Send is een krachtige functie, maar in de verkeerde handen ook een gevaarlijke aanvalsvector.

De vrij onbekende ‘Direct Send’-optie in Microsoft 365 blijkt misbruikt te zijn bij phishingmails. De mails lijken binnen intern in het getroffen bedrijf te zijn verstuurd. Uit onderzoek van het Amerikaans SaaS-platform Varonis blijkt dat meer dan zeventig organisaties sinds mei slachtoffer zijn.

Wat is Direct Send?

Direct Send is bedoeld voor printers en scanners die via het domein van de organisatie zelf e-mails moeten kunnen verzenden zonder authenticatie, weet Bleeping Computer. In de praktijk volstaat het ingeven van één PowerShell-regel om via de smart host van het bedrijf e-mails te sturen die zo goed als alle filterregels omzeilen. Aanvallers gebruiken externe IP-adressen, maar komen toch door de beveiliging omdat de berichten als ‘vertrouwd intern’ zijn gemarkeerd.

Intern uitgestuurde phishingmails

De mails imiteren voicemail- of faxmeldingen en bevatten het logo van het doelwit en een pdf met een QR-code. Wie de code scant, belandt onmiddellijk op een nagemaakte Microsoft-inlogpagina. Zo worden inloggegevens gestolen zonder dat de ontvanger iets hoeft aan te klikken. Er staan ook geen externe links in het pdf-bestand, om opnieuw die traditionele filters te kunnen omzeilen.

Uitschakelen

Microsoft introduceerde in april de optie ‘Reject Direct Send’, waarmee organisaties deze functie kunnen uitschakelen. Varonis adviseert daarnaast bewustwording rond QR-codes in mails. Zonder aanvullende controles is het niet voldoende om een mail als veilig te beschouwen als die intern is uitgestuurd.

lees ook

‘Meer dan 5 procent Belgen vult persoonlijke informatie in op phishing e-mails’