De nouvelles recherches révèlent une manière simple des acteurs de la menace pour les employés de Microsoft 365 à Phish, sans même avoir à voler des informations d’identification.
Les imprimantes et les scanners deviennent de plus en plus des moyens pour les cyber-escrocs de livrer des attaques de phishing, grâce à un défaut dans la fonction Microsoft 365 Send.
L’équipe de criminalistique de Varonis a découvert un exploit qui permet aux appareils internes tels que des imprimantes d’envoyer des e-mails sans authentification. La vulnérabilité a été utilisée pour cibler plus de 70 organisations, principalement aux États-Unis, avec des acteurs de menace usurpent les utilisateurs internes et la livraison de courriels de phishing sans avoir besoin de compromettre les comptes.
La campagne a réussi parce que les e-mails envoyés à partir de Microsoft 365 (M365) subissent moins de contrôle que le courrier électronique entrant standard.
« Cette découverte souligne un cas classique de fonctionnalité par rapport à la sécurité », a déclaré Ensar Seker, CISO à Socradar. «La fonctionnalité d’envoi directe de Microsoft 365 est conçue pour plus de commodité, permettant aux appareils tels que des imprimantes ou des scanners d’envoyer des e-mails sans authentification, mais cette conception même ouvre une porte à l’abus lorsqu’il est mal configuré ou mal compris.»
L’usurpation a rendu « remarquablement facile »
M365 Direct Send est destiné à un usage interne uniquement, mais il est facile pour les pirates d’accéder car aucune authentification n’est requise. Les attaquants n’ont pas besoin d’identification, de jetons ou même d’accès au locataire; Ils ont juste besoin de quelques détails publiquement disponibles et d’un talent pour deviner.
En effet, Direct Send utilise un hôte intelligent avec un format commun: et les formats d’adresse e-mail internes des entreprises peuvent être triviaux pour déterminer ou facile à retirer des sources publiques ou des médias sociaux. Une fois qu’un attaquant a le domaine et une adresse e-mail valide, il est en mesure d’envoyer des e-mails qui semblent provenir de l’intérieur de l’organisation.
Dans la campagne observée par les experts en médecine légale de Varonis, l’attaquant a utilisé PowerShell pour envoyer des e-mails conçus pour ressembler à des notifications de messagerie vocale qui comprenaient une pièce jointe PDF avec un code QR qui a redirigé les utilisateurs vers un site conçu pour récolter les informations d’identification M365.
Les chercheurs de Varonis ont souligné que la campagne fonctionne parce qu’aucune connexion ou information d’identification n’est requise, l’hôte intelligent accepte les e-mails de toute source externe, l’adresse «de» peut être usurpée pour être utilisateur interne, et la seule exigence est que le destinataire est interne à l’organisation client.
De plus, parce qu’il est acheminé via l’infrastructure Microsoft et semble provenir de l’organisation, l’e-mail contourne les contrôles de sécurité traditionnels, y compris les propres mécanismes de filtrage de Microsoft qui le traitent comme des outils internes à interne ou par tiers qui signalent des messages suspects basés sur l’authentification, les modèles de routage ou la réputation de l’expéditeur.
« Le défi est que de nombreuses organisations laissent des paramètres par défaut inchangés ou ne restreignent pas les autorisations de l’expéditeur, ce qui rend l’usurpation à partir de sources d’aspect interne remarquablement facile », a déclaré Seker.
David Shipley de Beauceron Security a qualifié cette vulnérabilité un cas classique de «propre pistolet, propre pied» et a noté qu’il «ne correspond pas exactement» à l’initiative Futures de Microsoft, la campagne de la société pour se sécuriser en permanence et ses clients.
« Ce type d’intelligence est le résultat direct du jeu de chat et de souris de sécurité par e-mail », a déclaré Shipley. Alors que de plus en plus d’organisations adoptent des fonctionnalités de sécurité telles que Sender Policy Framework (SPF), l’authentification, les rapports et la conformité des messages basés sur le domaine (DMARC) et le courrier identifié par DomainKeys (DKIM) et investissent dans des filtres électroniques, l’usurpation régulière devient beaucoup plus difficile.
Il est essentiellement des fruits à faible goûter pour les criminels, a-t-il ajouté, et « toute personne utilisant (Send direct) devrait la revoir hier maintenant que ce rapport est sorti. »
Que rechercher
Pour déterminer s’il y a eu des abus, les chercheurs de Varonis conseillent à l’étude des en-têtes de messages et des signaux comportementaux. Les indicateurs d’en-tête de message incluent les IP externes envoyés à l’hôte intelligent ou les échecs dans SPF, DKIM ou DMARC pour les domaines internes. De plus, le «X-MS-échange-crosstenant-id» devrait correspondre à l’ID du locataire de l’organisation.
Les indicateurs comportementaux pourraient inclure les e-mails envoyés par les utilisateurs à eux-mêmes; adresses IP inhabituelles; pièces jointes suspectes ou noms de fichiers; et PowerShell ou d’autres agents utilisateur en ligne de commande.
Microsoft a déclaré qu’il s’efforçait de désactiver l’envoi direct par défaut, et les clients peuvent appliquer une adresse IP statique dans le dossier SPF pour empêcher l’envoi d’abus, mais ce n’est pas une exigence directe.
Pour être proactif, les chercheurs de Varonis exhortent les leaders informatiques à:
- Mettre en œuvre des politiques strictes du DMARC et de la lutte contre l’urboux.
- Flag des e-mails internes non authentifiés pour examen.
- Appliquer «SPF Hardfail» dans Exchange Online Protection (EOP).
- Activer «Rejeter Direct Send» dans le centre d’administration Exchange.
- Éduquer les utilisateurs sur les risques associés aux attaques de Quishing (Code QR).
Traitez les appareils connectés au réseau comme des « points de terminaison à part entière »
Seker a noté que la configuration de Send Direct Senturely nécessite un rétrécissement des plages IP autorisées à l’utiliser, la mise en œuvre de restrictions de relais SMTP strictes et la surveillance des anomalies telles que les appareils envoyant des listes de distribution ou des domaines externes. Il est également essentiel d’associer ces techniques avec de fortes applications SPF, DKIM et DMARC, ce que de nombreuses entreprises négligent.
Les campagnes de spam et de phishing des scanners et des imprimantes deviennent plus courantes parce que «ils se mélangent», a déclaré Seker. «Les employés sont habitués à voir des notifications de documents numérisées et remettre en question leur authenticité.» Pour lutter contre cela, les organisations doivent traiter les appareils connectés au réseau comme des «paramètres à part entière», avec une segmentation, une journalisation et des lignes de base comportementales pour détecter une mauvaise utilisation.
En fin de compte, cela revient à un problème de visibilité, a déclaré Seker.
« Si vous ne savez pas de quoi vos appareils sont capables ou ce qu’ils sont autorisés à faire, vous ne pouvez pas vous défendre », a-t-il déclaré. « L’abus d’envoi direct est juste un autre rappel que les attaquants n’ont pas besoin de zéro jours lorsque les erreurs de configuration sont partout. »
Pourtant, Roger Grimes, évangéliste de défense basé sur les données chez KnowBe4, a souligné que, bien que ces types de campagnes exploitent les appareils deviennent plus courants, ils ne sont pas rampants.
« Nous nous inquiétons des imprimantes, des copains, des scanners et maintenant d’autres appareils IoT utilisés par les pirates pour faire de mauvaises choses depuis des décennies », a-t-il déclaré. « Et ce que l’histoire a montré, c’est que, bien que cela puisse être fait dans certains scénarios, il ne devient jamais super populaire. »
C’est principalement parce que les tactiques déjà utilisées par les pirates et les escrocs fonctionnent assez bien. « Il n’est pas nécessaire de faire quelque chose de différent ou de plus difficile à réaliser lorsque les méthodes actuelles rendent les escrocs riches », a-t-il déclaré.
