Hacker nutzen Microsoft 365-Funktion, um Phishing-E-Mails zu versenden

Das forensische Team der Varonis Managed Data Detection and Response (MDDR) hat eine ausgeklügelte Phishing-Kampagne aufgedeckt, die die „Direct Send“-Funktion von Microsoft nutzt, um interne Benutzer zu fälschen und Phishing-E-Mails zu versenden, ohne jemals ein Konto kompromittieren zu müssen.

Laut Forschern von Varonis ist diese Kampagne, die seit Mai 2025 aktiv ist, auf über 70 Organisationen – hauptsächlich in den Vereinigten Staaten – ausgerichtet, indem eine Funktion missbraucht wird, die dazu gedacht ist, Geräten wie Druckern das Senden von E-Mails ohne Authentifizierung zu ermöglichen. Diese Funktion wird jetzt von Bedrohungsakteuren manipuliert, um irreführende E-Mails zu senden, die scheinbar aus einer Organisation stammen, ohne jemals ein einziges Konto zu brechen.

„Die Einfachheit dieses Angriffs macht ihn so gefährlich“, sagte Michael Solomon, der die forensische Analyse bei Varonis leitete. „Sie benötigen keine Anmeldeinformationen, Malware oder sogar Zugriff auf die Zielumgebung. Alles, was Sie brauchen, ist eine öffentliche IP und ein einfaches PowerShell-Skript.“

Wie der Angriff funktioniert

Direct Send ist eine Funktion in Microsoft Exchange Online, die es Geräten und Anwendungen ermöglicht, E-Mails innerhalb eines Microsoft 365-Mandanten ohne Authentifizierung über einen Smart Host (z. B. tenantname.mail.protection.outlook.com) zu senden. Sie wurde für den internen Gebrauch entwickelt und erfordert keine Anmeldeinformationen.

Dies schafft eine Gelegenheit für Angreifer: Wenn sie die Mandanten-Domain identifizieren und eine gültige E-Mail-Adresse erraten können (ein gängiges Format wie [email protected]), können sie gefälschte E-Mails senden, die scheinbar aus der Organisation stammen, ohne jemals einloggen oder den Mandanten berühren zu müssen.

Da diese gefälschten Nachrichten über die Microsoft-Infrastruktur geleitet werden, umgehen sie oft E-Mail-Filter, die sich auf die Authentifizierung des Absenders, den Ruf oder externe Routing-Hinweise verlassen. Infolgedessen erscheinen die E-Mails als legitime interne Nachrichten.

PowerShell macht es einfach

Um die Angriffe durchzuführen, verwendeten Hacker einfache PowerShell-Skripte, um gefälschte E-Mails über Direct Send zu versenden. Diese Nachrichten ahmen legitime interne Warnungen nach, oft mit Betreffzeilen wie „ Neue verpasste Faxnachricht “ oder „ Anrufer hinterließ VM-Nachricht.“ Die E-Mails enthielten typischerweise PDF-Anhänge, die als Sprachnachrichten getarnt waren. Diese PDFs enthalten QR-Codes, die die Benutzer auf Websites zur Erfassung von Anmeldeinformationen umleiten.

Das MDDR-Forensikteam von Varonis verknüpfte mehrere Fälle basierend auf Ähnlichkeiten in den IP-Adressen der Absender, dem Inhalt der Nachrichten und dem Verhalten. Ein Beispiel aus der Praxis betraf E-Mail-Aktivitäten, die von einer ukrainischen IP-Adresse ohne Anmeldeversuche ausgingen – ein ungewöhnliches Muster, das auf einen Missbrauch von Direct Send hinwies.

Warum diese E-Mails die Erkennung umgehen

Mehrere Faktoren ermöglichen es diesen Nachrichten, traditionellen Sicherheitswerkzeugen zu entkommen:

• Es ist keine Authentifizierung erforderlich, um über Direct Send zu senden.
• E-Mails scheinen aus der Organisation zu stammen.
• Sie bestehen die SPF-, DKIM- und DMARC-Prüfungen nicht, können aber dennoch zugestellt werden.
• Microsofts Filterung könnte diese als interne Nachrichten behandeln.

Die Erkennung dieser Angriffe erfordert eine genaue Inspektion der E-Mail-Header auf ungewöhnliche Anzeichen, wie z. B. externe IPs, die mit dem Smart Host interagieren, und fehlgeschlagene Authentifizierungsprüfungen. Weitere Verhaltenswarnzeichen sind E-Mails, die von eigenen Adressen gesendet werden, Nachrichten, die mit PowerShell gesendet werden, und E-Mail-Aktivitäten, die von unerwarteten oder ausländischen Standorten ausgehen.

Schutzmaßnahmen

Um sich gegen diese Bedrohung zu verteidigen und zu schützen, empfiehlt Varonis, dass Organisationen die folgenden Schritte unternehmen:

• „Reject Direct Send“ im Exchange Admin Center aktivieren.
• Eine strenge DMARC-Richtlinie implementieren (z. B. p=reject).
• Unauthentifizierte interne Nachrichten kennzeichnen oder quarantänisieren.
• „SPF hardfail“-Einstellungen innerhalb von Exchange Online Protection (EOP) durchsetzen.
• Anti-Spoofing-Richtlinien verwenden.
• Mitarbeiter über Phishing und QR-Code-basierte Angriffe (auch bekannt als „Quishing“) aufklären.
• Ungewöhnliche E-Mail-Sendeverhalten wie selbstadressierte Nachrichten und unerwartete IP-Nutzung überwachen.
• Eine statische IP-Adresse im SPF-Eintrag durchsetzen, um unerwünschten Sendemissbrauch zu verhindern – eine empfohlene, wenn auch optionale, bewährte Methode von Microsoft.

„Direct Send ist eine leistungsstarke Funktion, aber in den falschen Händen wird sie zu einem gefährlichen Angriffsvektor. Wenn Sie gefälschte interne E-Mails nicht aktiv überwachen oder diese Schutzmaßnahmen nicht aktiviert haben, ist jetzt der richtige Zeitpunkt. Gehen Sie nicht davon aus, dass intern sicher bedeutet“, schloss Varonis.