Les hackers exploitent une fonctionnalité de Microsoft 365 pour envoyer des e-mails de phishing

L’équipe d’analyse judiciaire de Varonis Managed Data Detection and Response (MDDR) a découvert une campagne de phishing sophistiquée qui utilise la fonctionnalité “Direct Send” de Microsoft pour usurper des utilisateurs internes et envoyer des e-mails de phishing sans jamais avoir besoin de compromettre un compte.

Selon les chercheurs de Varonis, cette campagne, qui est active depuis mai 2025, a ciblé plus de 70 organisations—principalement aux États-Unis—en abusant d’une fonction destinée à aider les appareils comme les imprimantes à envoyer des e-mails sans authentification. Cette fonction est désormais manipulée par des acteurs malveillants pour envoyer des e-mails trompeurs qui semblent provenir de l’intérieur d’une organisation, le tout sans violer un seul compte.

“La simplicité de cette attaque est ce qui la rend si dangereuse,” a déclaré Michael Solomon, qui a dirigé l’analyse judiciaire chez Varonis. “Vous n’avez pas besoin de credentials, de malware, ou même d’accès à l’environnement cible. Tout ce dont vous avez besoin est une adresse IP publique et un script PowerShell basique.”

Comment fonctionne l’attaque

Direct Send est une fonctionnalité de Microsoft Exchange Online qui permet aux appareils et aux applications d’envoyer des e-mails au sein d’un locataire Microsoft 365 sans authentification en utilisant un hôte intelligent (par exemple, tenantname.mail.protection.outlook.com). Elle a été conçue pour un usage interne et ne nécessite pas de credentials de connexion.

Cela crée une opportunité pour les attaquants : s’ils peuvent identifier le domaine du locataire et deviner une adresse e-mail valide (un format courant comme [email protected]), ils peuvent envoyer des e-mails usurpés qui semblent provenir de l’intérieur de l’organisation, sans jamais se connecter ou toucher le locataire.

Puisque ces messages usurpés sont acheminés par l’infrastructure de Microsoft, ils contournent souvent les filtres de messagerie qui s’appuient sur l’authentification de l’expéditeur, la réputation ou des indices d’acheminement externes. En conséquence, les e-mails semblent être des messages internes légitimes.

PowerShell facilite les choses

Pour lancer les attaques, les hackers ont utilisé de simples scripts PowerShell pour envoyer des e-mails usurpés via Direct Send. Ces messages imitent des alertes internes légitimes, souvent avec des sujets comme “ Nouveau message de fax manqué “ ou “ L’appelant a laissé un message vocal.” Les e-mails contenaient généralement des pièces jointes PDF déguisées en messages vocaux. Ces PDF incluent des codes QR qui redirigent les utilisateurs vers des sites de collecte de credentials.

L’équipe d’analyse judiciaire MDDR de Varonis a lié plusieurs instances basées sur des similitudes dans les adresses IP des expéditeurs, le contenu des messages et le comportement. Un exemple du monde réel impliquait une activité d’e-mail provenant d’une adresse IP ukrainienne sans aucune tentative de connexion—un modèle inhabituel qui pointait vers un abus de Direct Send.

Pourquoi ces e-mails échappent à la détection

Plusieurs facteurs permettent à ces messages d’échapper aux outils de sécurité traditionnels :

• Aucune authentification n’est requise pour envoyer via Direct Send.
• Les e-mails semblent provenir de l’intérieur de l’organisation.
• Ils échouent aux vérifications SPF, DKIM et DMARC mais peuvent tout de même être livrés.
• Le filtrage de Microsoft peut les traiter comme des messages internes.

Détecter ces attaques implique d’examiner de près les en-têtes d’e-mail pour des signes inhabituels, tels que des IP externes interagissant avec l’hôte intelligent et des vérifications d’authentification échouées. D’autres signaux d’alerte comportementaux incluent des e-mails envoyés depuis leurs propres adresses, des messages envoyés en utilisant PowerShell, et une activité d’e-mail provenant de lieux inattendus ou étrangers.

Mesures de protection

Pour se défendre et se protéger contre cette menace, Varonis recommande aux organisations de prendre les mesures suivantes :

• Activer “Rejeter Direct Send” dans le Centre d’administration Exchange.
• Mettre en œuvre une politique DMARC stricte (par exemple, p=reject).
• Marquer ou mettre en quarantaine les messages internes non authentifiés.
• Appliquer les paramètres “SPF hardfail” dans Exchange Online Protection (EOP).
• Utiliser des politiques anti-usurpation.
• Éduquer les employés sur le phishing et les attaques basées sur les codes QR (également connues sous le nom de “quishing”).
• Surveiller les comportements d’envoi d’e-mails inhabituels comme les messages auto-adressés et l’utilisation d’IP inattendues.
• Appliquer une adresse IP statique dans l’enregistrement SPF pour prévenir les abus d’envoi non désirés — une pratique recommandée, bien que facultative, de Microsoft.

“Direct Send est une fonctionnalité puissante, mais entre de mauvaises mains, elle devient un vecteur d’attaque dangereux. Si vous ne surveillez pas activement les e-mails internes usurpés ou n’avez pas activé ces protections, c’est le moment. Ne supposez pas que l’interne signifie sûr,” a conclu Varonis.