Microsoft 365 Exchange Online’ın, başlangıçta eski cihazların ve uygulamaların kimlik doğrulaması olmadan e-posta göndermesine olanak sağlamak üzere tasarlanan Doğrudan Gönderme özelliği, karmaşık kimlik avı ve iş e-postası güvenliği saldırıları gerçekleştiren siber suçlular için istismar edilebilir bir yol haline geldi.
Bu özellik, çok işlevli yazıcıların, tarayıcıların ve eski iş kolu uygulamalarının, zorlu kimlik doğrulama ve güvenlik kontrollerini atlayarak mesaj iletmesine olanak tanır ve böylece, rakiplerin standart içerik filtrelerini ve etki alanı doğrulama protokollerini atlatmak için silah haline getirdiği operasyonel kolaylık yaratır.
Son araştırmalar, güvenilir dahili kaynaklardan geliyormuş gibi görünen sahte mesajlar iletmek için Direct Send’i kullanan kötü niyetli kampanyalarda bir artış olduğunu ortaya koyuyor.
Tehdit aktörleri meşru cihaz trafiğini taklit eder ve yöneticilerin, BT yardım masalarının ve dahili kullanıcıların kimliğine bürünerek kimliği doğrulanmamış e-postalar gönderir.
Bu kampanyalar sıklıkla, alıcıları kimlik bilgilerini veya hassas bilgileri ifşa etmeye yönlendirmek için tasarlanmış görev onayları, sesli posta bildirimleri ve ödeme istemleri dahil olmak üzere iş temalı sosyal mühendislik tuzaklarından yararlanıyor.
Cisco Talos analistleri, koordineli kimlik avı kampanyaları ve BEC saldırılarının bir parçası olarak Direct Send’i kullanan kötü niyetli aktörlerin artan aktivitelerini tespit etti.
Varonis, Abnormal Security, Ironscales, Proofpoint, Barracuda ve Mimecast dahil olmak üzere çok sayıda kuruluştan güvenlik araştırmacıları benzer bulguları bağımsız olarak doğruladı; bu da düşmanların son aylarda Direct Send’i kullanarak aktif olarak şirketleri hedef aldığını gösteriyor.
Doğrudan Gönderim Kullanımı
Saldırılar, özelliğin Exchange altyapısından örtülü güven devralma yeteneğinden yararlanıyor, yük incelemesini azaltıyor ve mesajların kritik gönderen doğrulama mekanizmalarını atlamasına olanak tanıyor.
Bu istismar tekniği, üç temel e-posta kimlik doğrulama protokolünün atlatılmasına odaklanıyor: Etki Alanı Anahtarlarıyla Tanımlanmış Posta (DKIM), Gönderen Politikası Çerçevesi (SPF) ve Etki Alanı Tabanlı İleti Kimlik Doğrulaması, Raporlama ve Uygunluk (DMARC).
,%20fake%20ACH%20payment%20notice%20(right)%20(Source%20-%20Cisco%20Talos).webp)
Normal koşullar altında bu protokoller, kriptografik imzalar, yetkili IP aralıkları ve politika uygulaması yoluyla mesajın orijinalliğini doğrular.
Ancak Direkt Gönderim bu incelemeyi önleyerek sahte mesajların alıcılara itiraz edilmeden ulaşmasını sağlar.
Saldırganlar, PDF’lerin içine QR kodları yerleştirdi ve karmaşık eklere sahip boş gövdeli mesajlar oluşturarak geleneksel içerik filtrelerini başarıyla atlattı ve kurbanları kimlik bilgisi toplama sayfalarına yönlendirdi.
Microsoft, RejectDirectSend denetiminin Genel Önizlemesini sunarak ve Direct Send’e özgü kullanım raporları ve yeni kiracılar için varsayılan kapatma yapılandırması da dahil olmak üzere gelecekteki geliştirmeleri duyurarak yanıt verdi.
Kuruluşlar, komutu kullanarak mümkün olduğu durumlarda Doğrudan Gönderimi devre dışı bırakarak riskleri azaltabilir Set-OrganizationConfig -RejectDirectSend $true Meşru posta akışlarını doğruladıktan, cihazları 587 numaralı bağlantı noktasında kimliği doğrulanmış SMTP gönderimine taşıdıktan ve kimlik doğrulamasını düzgün şekilde yapamayan cihazlar için kapsamı sıkı IP kısıtlamaları uyguladıktan sonra.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
