Les acteurs malveillants abusent des enregistrements MX mal configurés et des politiques DMARC/SPF faibles pour donner l’impression que les e-mails de phishing sont internes, contournant ainsi les filtres et augmentant le risque de vol d’identifiants.
L’équipe Threat Intelligence de Microsoft a révélé que les auteurs de menaces exploitent de plus en plus le routage complexe des e-mails et la protection contre l’usurpation de domaine mal configurée pour donner l’impression que les messages de phishing ont été envoyés depuis l’intérieur des organisations qu’ils ciblent.
Ces campagnes s’appuient sur des lacunes de configuration, en particulier des scénarios dans lesquels les enregistrements DNS de l’échangeur de courrier (MX) ne pointent pas directement vers Microsoft 365 et où les stratégies DMARC (Domain-based Message Authentication, Reporting & Conformance) et Sender Policy Framework (SPF) sont permissives ou mal configurées.
« Les acteurs malveillants ont exploité ce vecteur pour diffuser une grande variété de messages de phishing liés à diverses plates-formes de phishing en tant que service (PhaaS) telles que Tycoon 2FA », a déclaré Microsoft dans un article de blog sur la sécurité.
Le blog note que même si le vecteur d’attaque n’est pas nouveau, son exploitation s’est considérablement accélérée depuis la mi-2025, délivrant des leurres de phishing allant de la réinitialisation de mots de passe au partage de documents.
Le routage « interne » et les politiques faibles sont en cause
Le problème réside dans la manière dont les serveurs de messagerie de réception interprètent les messages entrants. Lorsque les enregistrements MX conduisent à des chemins de messagerie complexes, tels que des systèmes sur site ou des relais tiers avant Microsoft 365, les contrôles standard de protection contre l’usurpation d’identité tels que l’échec matériel SPF et l’application stricte de DMARC peuvent ne pas être appliqués correctement.
Dans ces cas-là, un e-mail de phishing peut arriver avec la propre adresse du destinataire dans les champs « À » et « De », un message usurpé qui apparaît en interne en un coup d’œil. Dans certains cas, les attaquants modifient le nom de l’expéditeur pour rendre le message plus convaincant, tandis que le champ « De » est défini sur une adresse e-mail interne valide.
Combinés avec des politiques DMARC et SPF permissives ou absentes, ces messages peuvent contourner les filtres anti-spam et atterrir directement dans les boîtes de réception des utilisateurs.
« Les messages de phishing envoyés via ce vecteur peuvent être plus efficaces car ils semblent être des messages envoyés en interne », a ajouté Microsoft sur le blog. « Une compromission réussie des informations d’identification par le biais d’attaques de phishing peut conduire à un vol de données ou à des attaques de compromission de courrier électronique professionnel (BEC) contre l’organisation ou les partenaires concernés et peut nécessiter d’importants efforts de remédiation et/ou entraîner une perte de fonds en cas d’escroquerie financière. »
Au-delà de la capture des informations d’identification, l’infrastructure PhaaS peut faciliter les attaques par adversaire au milieu (AiTM) qui relaient les informations d’authentification en temps réel et peut même contourner les protections d’authentification multifacteur.
Le renforcement des configurations peut aider
La divulgation souligne qu’une configuration appropriée des mécanismes d’authentification du courrier constitue la défense la plus efficace contre ce vecteur d’usurpation d’identité. Il est conseillé aux organisations d’adopter des politiques de rejet DMARC strictes et d’appliquer des échecs définitifs SPF afin que le courrier non authentifié prétendant provenir de leurs domaines soit rejeté ou mis en quarantaine en toute sécurité.
De plus, les recommandations consistent notamment à garantir que tous les connecteurs tiers, tels que les filtres anti-spam, les services d’archivage ou les relais de messagerie existants, sont correctement configurés afin que les contrôles d’usurpation d’identité puissent être calculés et appliqués de manière cohérente.
Les locataires dont les enregistrements MX pointent directement vers Microsoft 365 ne sont pas vulnérables à ce problème, car les mécanismes natifs de détection et de filtrage des usurpations d’identité de Microsoft sont appliqués par défaut. Pour les infrastructures de messagerie plus complexes, Microsoft a fourni des conseils spécifiques sur les règles de flux de messagerie et les pratiques d’authentification afin de réduire l’exposition et de bloquer les e-mails usurpés avant qu’ils n’atteignent les boîtes de réception des utilisateurs finaux.
Au-delà des correctifs d’authentification du courrier, Microsoft a exhorté les organisations à renforcer les défenses d’identité contre le phishing AiTM, qui contourne les mots de passe en détournant les sessions authentifiées. Les contrôles recommandés incluent une MFA résistante au phishing, telle que les clés de sécurité FIDO2, l’application de l’accès conditionnel et une protection telle que la correspondance des numéros MFA pour limiter l’impact des jetons volés.
