Signaler un abus via « Direct Send »
le 6 août 2025
- Les cybercriminels exploitent activement la fonctionnalité « Direct Send » de Microsoft 365 pour envoyer des e-mails de Phishing
- Cette technique contourne efficacement les solutions de sécurité périmétrique en acheminant les e-mails malveillants via l'infrastructure de confiance de Microsoft 365
- Ne nécessite ni identifiants ni jetons, mais uniquement la connaissance du domaine cible et des adresses de destinataires valides
- Cela constitue une faille majeure dans les dispositifs de sécurité des e-mails, car cela permet de contourner les filtres de sécurité externes qui analysent les e-mails entrants provenant de sources externes.
Présentation
L'équipe de recherche sur les menaces de Mimecast continue d'observer des campagnes d'e-mails malveillants exploitant la fonctionnalité « Direct Send » de Microsoft 365. Ce vecteur d'attaque permet aux acteurs malveillants d'envoyer des e-mails qui semblent provenir d'utilisateurs internes, sans qu'il soit nécessaire de s'authentifier ni de pirater un compte. Cette technique a gagné en popularité, car elle permet de contourner efficacement les solutions de sécurité périmétrique et tire parti de la confiance que les utilisateurs accordent naturellement aux communications internes. Cette menace émergente constitue une faille critique dans les systèmes de sécurité de la messagerie électronique des organisations utilisant Microsoft 365.
Méthodologie d'attaque
« Direct Send » est une fonctionnalité officielle de Microsoft 365 conçue pour permettre à des appareils, des applications et des services tiers d'envoyer des e-mails directement dans les boîtes de réception des utilisateurs sans authentification. Les pirates exploitent cette fonctionnalité en se connectant au point de terminaison SMTP de Microsoft 365 et en envoyant des e-mails qui usurpent l'identité d'expéditeurs internes. Le processus d'attaque comporte trois étapes clés :
- Les attaquants identifient les domaines d'entreprise valides et les adresses e-mail des destinataires grâce à des opérations de reconnaissance.
- Ces e-mails sont conçus pour se faire passer pour des utilisateurs ou des services internes de confiance, en imitant souvent des communications professionnelles courantes, telles que des notifications du service informatique ou des annonces des ressources humaines.
- Ces e-mails frauduleux sont acheminés directement via l'infrastructure de Microsoft 365, où ils apparaissent comme des messages acheminés en interne.
Contrairement à l'usurpation d'adresse e-mail classique, l'utilisation abusive de la fonctionnalité « Direct Send » ne nécessite aucun identifiant d'authentification, ni nom d'utilisateur, ni mot de passe, ni jeton. Il suffit aux pirates de connaître le domaine de l'organisation ciblée et de disposer d'adresses de destinataires valides. Cette technique est particulièrement efficace, car les e-mails transitent par l'infrastructure de confiance de Microsoft 365, ce qui leur confère une apparence légitime tant aux yeux des systèmes de sécurité que des utilisateurs finaux. L'absence d'exigences en matière d'authentification signifie que les attaquants peuvent usurper l'identité de n'importe quel utilisateur interne sans avoir besoin de compromettre des comptes légitimes.
Informations sur la campagne
Les organisations sont fortement exposées au vol d'identifiants, au business email compromise et à la diffusion de malware par le biais de ce vecteur d'attaque. La confiance implicite liée aux communications internes augmente le risque que les utilisateurs interagissent avec des contenus malveillants.
Des campagnes récentes ont démontré l'efficacité de cette technique, les auteurs de menaces ayant réussi à récupérer des identifiants et à s'implanter pour effectuer des mouvements latéraux au sein des environnements ciblés. L'utilisation abusive de Direct Send a connu un succès particulier au sein des organisations qui s'appuient fortement sur les communications par e-mail pour leurs activités commerciales.
Bien que les e-mails malveillants envoyés directement ne transitent pas par Mimecast, les campagnes récentes observées contiennent des pièces jointes au format PDF ou DOCX comportant des codes QR, ou encore des pièces jointes HTML fortement obscurcies, qui mènent toutes à des pages de Phishing visant à récupérer des identifiants.
L'analyse des fichiers PDF et DOC joints révèle que les auteurs de la menace utilisent des outils automatisés pour générer des leurres convaincants sur le thème des affaires, dans le cadre d'une campagne de Phishing exploitant la fonctionnalité Direct Send de Microsoft. Les pièces jointes au format PDF ont été principalement créées à l'aide de wkhtmltopdf 0.12.6 (Qt 4.8.7), un outil couramment utilisé pour convertir à grande échelle des modèles HTML en fichiers PDF, tandis que les fichiers DOCX ont été générés avec Microsoft Office Word 2007, une ancienne version qui prend en charge des fonctionnalités souvent exploitées à des fins de Phishing, telles que les invites de récupération de fichiers et la compatibilité avec les macros. L'utilisation systématique de ces outils, associée à la création rapide, le jour même, de plusieurs documents thématiques, témoigne d'une approche coordonnée et fondée sur des modèles, conçue pour optimiser la diffusion et contourner les contrôles de sécurité traditionnels.
Analyse HTML
Un exemple intéressant de pièce jointe HTML illustre une technique d'obfuscation poussée utilisant l'obfuscation par homoglyphes. À première vue, le code utilise une single variable à plusieurs reprises, mais il définit et manipule plus d'une centaine de variables, chacune portant un nom composé de trois caractères UTF-8 (Unicode) visuellement similaires. Cette technique, connue sous le nom d'« obfuscation Unicode » ou « obfuscation par homoglyphes », rend l'analyse manuelle extrêmement difficile et peut déjouer de nombreux outils de détection automatisés. Le script évite toute chaîne de caractères lisible ou toute affectation directe. Au lieu de cela, il utilise une série de particularités de JavaScript et d’astuces de coercition de types — telles que !1+[] (qui donne la chaîne « "» : false"), []+{} (qui produit « " » : [object Object]"), et "foo"& " bar" (qui donne toujours 0) — pour générer des entiers et des chaînes de caractères de base. Ces nombres entiers sont ensuite utilisés comme indices de tableau ou pour construire des codes ASCII, qui sont assemblés de manière dynamique dans la charge utile finale à l'aide de fonctions telles que String.fromCharCode. Le code utilise la fonction document.write() afin d'afficher le contenu malveillant, qui redirige l'utilisateur vers un site de Phishing. Tout cela se fait sans qu'aucune chaîne de caractères utile ne figure dans le code statique, ce qui rend l'analyse statique et la détection par signature extrêmement difficiles.
Les autres pièces jointes au format HTML identifiées utilisent principalement une variante des caractères UTF-8 afin de brouiller considérablement le contenu du fichier.
Indicateurs de compromission
Adresses IP d'origine
141.95.71.216
141.95.114.238
139.28.38.90
23.163.0.158
51.89.87.86
Objets d'e-mails
Nouveau guide de l'employé et actualités organisationnelles
Reconnaissance de votre contribution professionnelle – Mise à jour sur la rémunération
Renouvellement obligatoire de vos identifiants de connexion
Confirmation : la prime de fin d’année 2025 a été ajoutée à votre fiche de paie
Action requise : Évaluation des collaborateurs de [Nom de l’entreprise]
Domaines
Jmvthr[.]owlrd[.]ru
Eiregirc[.]ru
Mettsoll[.]com
djvzk[.]uekmu[.]es
Hachages de fichiers
cc2f055a242eec9ba870fc3040883439666266a018c833b72bb201592ff0c0e4
19279573e2c3b0e6348bb305e3101531eea978037330636942a0be85dccd62c1
988d3069d1241d2784debeb6946c57a8c66221d7fbfbd6228b2b8b3cc4e92a50
092d0be4a754532ad49e202eeba2a7709dad03f3f58cf72205f38efc668ebabd
975b04bb26d5fe627e195bdf46fc4eec7b25b63d7b4ab926b437a04903ec522f
625561c24491e8b68efa34e14c5a332c63c6121a333f700af4ff6801ebe587c8
b810f7e999d5824147535e3974cf349010f78badaa0428c554bb3e5eec56db2f
5b6aa8f966e240f620ad10417ff4804941966f878cc83020391ad786f5360f43
3f52227acb6f97853b491cdaab53630cb21b3337a972efcb05660cd139df2482
c2394537d5e7b3c1c9afc73408b5c6b1c1154650a4a8454b9f4e534c9ddbd092
ca82e7201694b964e0f6702e08f75f98f0732552aefaed6ae8b170689341bfe2
3432411a3bb498e6688d24dc3824b6469242d42d0b8742116479f35a8c05ab5a
f24785156ec9c045e88eed48b2a262996a12e7bc62f50784bba9334172668275
48171e699562fe854418797cd8b8517b3f5eec598fd89e3d20c5a8f346176bf2
d5800e021a88c6e91f1605b892e8aefe1ba21719022417746a64a4acba13e903
cf74d4c1c3e8317c43aacdcda57cb8da032477e24732d0a7987c8bf5aa9ff186
7c11352b17e325a53e3a73e34459fc55b90ceaf2c3cd4dc4421be879c7147391
b96ee4c2bdf566a5740dc100cf1c70896cd2806fac42d46b022d5c52c3a8a52a
df6bc150a77c36beafbfd0c59daa7a8960bb090743b778477e25805195640c0c
0736b07c27ff2ff21175991c2ffae38d75a66bbb57fe4390afb3347e4d6e691a
Recommandations
Mesures d'atténuation
- Activer le paramètre « Refuser l'envoi direct » : si votre organisation n'a pas besoin de la fonction d'envoi direct, désactivez-la. Dans le Centre d'administration Exchange, activez le paramètre « Refuser l'envoi direct ». Cela permettra d'empêcher toute utilisation non autorisée de la fonctionnalité « Direct Send » en rejetant les e-mails qui tentent d'utiliser cette méthode sans authentification appropriée.
- Activer les enregistrements DMARC ou SPF stricts
Configurer M365 avec Mimecast
- Suivez la procédure « Connect » relative au verrouillage de la messagerie Microsoft 365 afin d'empêcher l'acceptation d'expéditeurs non autorisés.
- Si votre organisation utilise Direct Send, veuillez suivre ces étapes de filtrage et de configuration afin de vous assurer que seuls les e-mails autorisés sont transmis.
Évaluation environnementale
Avant d'activer cette fonctionnalité, les organisations doivent vérifier si leur environnement comporte des appareils ou des applications qui utilisent le protocole SMTP sans authentification pour des fonctions métier légitimes. Les systèmes existants, les imprimantes, les scanners et les applications métier peuvent nécessiter des mises à jour de configuration pour pouvoir utiliser des méthodes d'envoi authentifiées.