Barracuda full logo

Les attaques par hameçonnage Microsoft Direct Send, c'est quoi ?

Thèmes:
4 août 2025
|
Christine Barry

Les analystes Barracuda Security ont récemment détecté une campagne d’hameçonnage qui utilise la fonctionnalité Direct Send de Microsoft 365 pour contourner la sécurité des e-mails. Il s'agit d'une attaque à grande échelle qui abuse d'une fonctionnalité légitime de Microsoft 365 pour imiter les communications internes. Consultez l'avis de sécurité Barracuda et l'avis de menace de cybersécurité pour des détails techniques sur cette attaque.

Suivez ces étapes pour confirmer que votre Barracuda Email Gateway Defense est configuré pour atténuer cette menace.

Cette campagne d’hameçonnage présente un risque énorme pour les entreprises non protégées utilisant Microsoft 365. Les messages se font passer pour un e-mail interne de l’entreprise et sont accompagnés d’une pièce jointe PDF qui comprend un code QR. Les destinataires sont invités à scanner le code QR afin d'accéder à un message vocal.

 

Document PDF avec codes QR, via Bleeping Computer

Document PDF avec codes QR, via Bleeping Computer

Le code QR dirige les victimes vers un faux formulaire de connexion Microsoft, où les acteurs malveillants voleront les identifiants de l’utilisateur. Ils seront ensuite vendus et/ou utilisés pour déclencher une attaque plus importante contre l'entreprise.

Qu'est-ce que Direct Send ?

Direct Send est une voie de messagerie ouverte qui permet l'envoi d’e-mail sans authentification. Il s’agit d’une fonctionnalité Microsoft légitime mais à faible sécurité qui permet aux serveurs autres que les serveurs de messagerie d’envoyer des e-mails. La plupart des entreprises utiliseraient cette fonctionnalité pour permettre aux imprimantes en réseau et aux applications professionnelles d’envoyer un e-mail à une personne du même domaine. Vous trouverez plus d'informations à ce sujet dans ce document Microsoft Learn.

Il est important de noter que les messages Direct Send utilisent une infrastructure interne et ne nécessitent pas d'autorisation par e-mail ni de mesures de sécurité. Le trafic de Direct Send ne sera pas acheminé via des Email Security Gateways externes. Vous devez prendre des mesures spécifiques pour sécuriser Direct Send dans votre environnement.

Microsoft a introduit la fonctionnalité « Reject Direct Send » en avril 2025. Cette fonctionnalité bloque tout le trafic Direct Send et est désactivée par défaut. L'utilisation de cette fonctionnalité peut nuire à des fonctions commerciales légitimes, donc Microsoft exhorte les administrateurs à faire preuve de prudence lors de son activation.

Qu'est-ce qu'un exploit ?

Il est important de comprendre qu'il ne s'agit pas d'une vulnérabilité non corrigée dans un système Microsoft ou tiers. Notre avis sur les menaces de cybersécurité couvre ce sujet plus en détail :

Cette attaque est particulièrement préoccupante en raison de plusieurs facteurs :  

  • Utilisation abusive d'une fonctionnalité légitime: l'attaque exploite une fonctionnalité intégrée à Microsoft 365, ce qui la rend difficile à désactiver sans perturber les opérations commerciales.
  • Aucune CVE attribuée : comme il ne s'agit pas d'une vulnérabilité logicielle mais d'une mauvaise utilisation des fonctionnalités prévues, elle n'a pas d'identifiant CVE, ce qui complique le suivi et la correction.
  • Contourne la sécurité des e-mails : les défenses de messagerie classiques basées sur le SPF, le DKIM et le DMARC sont inefficaces face à cette tactique.
  • Spoofing de l'expéditeur interne : les emails semblent provenir de sources internes fiables, ce qui augmente les chances d'interaction avec les utilisateurs.
  • Exposition généralisée : toute organisation utilisant l’envoi direct est potentiellement à risque.

Protégez-vous

Il est possible de sécuriser l'envoi direct sans rejeter tous les e-mails Direct Send. Les clients de Barracuda Email Gateway Defense peuvent avoir sécurisé Direct Send lors de la configuration des connecteurs pour Microsoft 365. Les étapes pour configurer la sécurité Direct Send se trouvent dans cet article de Barracuda Campus. Il s'agit d'une procédure pas à pas qui ne prend que quelques minutes à compléter. Vous pouvez également contacter l'assistance Barracuda pour obtenir de l'aide.

Si vous n'êtes pas absolument certain que Direct Send est sécurisé, veuillez suivre les étapes décrites dans le document Barracuda Campus ou contacter l'assistance Barracuda.

Ressources supplémentaires :

Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 Les principaux acteurs de la menace en août : ransomware, espionnage et voleurs d’informations
Les principaux acteurs de la menace en août : ransomware, espionnage et voleurs d’informations
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.