防范Microsoft 365 Exchange Online直送功能滥用指南

本文详细分析了Microsoft 365 Exchange Online直送功能的安全风险,攻击者利用该功能绕过标准安全检查进行网络钓鱼和商业邮件欺诈,并提供了具体的缓解措施和安全建议。

减少Microsoft 365 Exchange Online直送功能滥用

概述

Microsoft 365 Exchange Online的直送功能旨在解决企业级运营挑战:某些设备和传统应用程序(如多功能打印机、扫描仪、楼宇系统和旧版业务线应用)需要向租户发送电子邮件,但缺乏正确身份验证能力。直送通过允许来自这些设备的邮件绕过更严格的身份验证和安全检查来保护业务工作流程。

不幸的是,直送能够绕过标准安全检查的特性使其成为攻击者的理想目标。思科Talos观察到恶意行为者利用直送作为网络钓鱼活动和商业邮件欺诈攻击的一部分的活动有所增加。来自更广泛社区的公开研究,包括Varonis、Abnormal Security、Ironscales、Proofpoint、Barracuda、Mimecast、Arctic Wolf等公司的报告,都与思科Talos的发现一致:对手在最近几个月积极针对使用直送功能的企业。

微软公司已经推出了RejectDirectSend控制的公开预览版,并预示了未来的改进,例如直送特定使用报告和新租户的最终"默认关闭"状态。这些持续增强功能与现有安全控制相结合,正在帮助组织加强防御,同时仍支持直送功能设计要实现的业务关键工作流程。

直送功能如何被利用

直送滥用是对可信路径的机会主义利用。对手模拟设备或应用程序流量,并发送看似来自内部账户和可信系统的未认证消息。上述研究描述了重复出现的技术,例如:

  • 冒充内部用户、高管或IT帮助台(例如,Abnormal和Varonis观察到)
  • 商业主题诱饵,如任务批准、语音邮件或服务通知,以及电汇或付款提示(例如,Proofpoint关于社会工程有效载荷的观察)
  • 嵌入PDF的二维码和低内容或空正文消息携带混淆附件,用于绕过传统内容过滤器并将用户引导至凭据收集页面(例如,Ironscales、Barracuda和Mimecast报告中强调)
  • 使用可信的Exchange基础设施和合法的SMTP流来继承隐式信任并减少有效载荷审查

“当为便利而构建的功能成为攻击者的完美伪装时会发生什么?” - Abnormal Security,描述直送的双重用途性质。

合法依赖仍然存在。许多企业尚未将旧版扫描或工作流系统完全迁移到认证提交(SMTP AUTH)或合作伙伴连接器。在没有可见性和变更计划的情况下匆忙全面禁用可能会中断发票处理、文档分发或设施通知。这正是微软构建报告以帮助管理员排序风险降低而不会意外影响业务的原因。

示例

图1. 伪造的美国运通争议(左),虚假的ACH付款通知(右)

图1中的示例(受害者信息已编辑)展示了非常明显的攻击,这些攻击被假定为内部消息,因此绕过了可能判定这些威胁的发送者验证。

直送绕过发送者验证

电子邮件域发送者验证有三个关键要素:

  • DomainKeys-Identified Mail (DKIM) 是消息头和内容的加密签名。这可以验证消息是由拥有发送域授权的密钥服务器发送的。
  • Sender Policy Framework (SPF) 指定了被授权代表域发送的IP范围列表。
  • Domain-based Message Authentication, Reporting and Conformance (DMARC) 定义了当域的邮件缺少DKIM签名和SPF授权时应如何处理不合规邮件。发送者可以选择DMARC策略,指示接收方拒绝此类邮件。这越来越常见,尤其是在银行中。

如果图1中的先前示例经过DMARC、DKIM和SPF扫描,它们将被拒绝。然而,直送阻止了这种检查。

缓解措施和建议

随着直送滥用变得越来越普遍,组织审查与直送相关的安全状况至关重要。根据微软的指导和社区发现,Talos建议:

禁用或限制直送(在可行的情况下)

  • 清点当前依赖关系。尽管即将推出的微软报告应使此过程更加简化,但创建或审查内部设备清单、SPF记录和连接器配置。
  • 在验证合法内部流量的邮件流后,启用Set-OrganizationConfig -RejectDirectSend $true。

将设备迁移到认证SMTP

  • 对于能够存储现代凭据或利用应用程序特定身份的设备和应用程序,优先使用认证SMTP客户端提交(端口587)(微软文档)。
  • 仅对无法使用认证提交的设备使用具有严格范围源IP限制的SMTP中继。

为批准的发送者实施合作伙伴/入站连接器

  • 为使用您接受的域合法发送的第三方服务建立基于证书或IP的合作伙伴连接器。

加强认证和对齐

  • 维护包含必需授权发送IP的SPF;根据消息、恶意软件和移动反滥用工作组(M³AAWG)以及微软的指导采用软失败(~all)。
  • 强制执行DKIM签名并监控DMARC聚合报告,查找异常的类似内部未认证流量。

加强策略、访问和监控

  • 限制来自一般用户段的端口25出口;只有指定主机应发起SMTP流量。
  • 使用条件访问或等效策略阻止不再合理的旧版认证路径。
  • 对缺少认证的意外内部域消息发出警报。

“你看不到的东西就无法阻止。” - Ironscales,关于可见性是自信执行的先决条件

这些防御层叠在微软的平台控制之上,减少了攻击者驻留时间并缩短了检测到修复的窗口。

Talos如何防范直送滥用

Talos利用先进的AI和机器学习持续分析全球电子邮件遥测、活动基础设施和不断发展的社会工程策略 - 确保我们的客户保持领先于新兴威胁。我们的安全平台远远超出基本头检查,使用行为分析、深度内容检查和不断适应的模型,在复杂恶意行为者针对您的组织之前识别并消除它们。

联系思科Talos事件响应,了解从主动保护关键通信和端点保护到安全审计和事件管理的所有内容。

致谢:我们感谢微软工程和安全团队以及更广泛研究社区的持续努力,他们的透明出版物为全球防御者提供了信息。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次