Investigadores de ciberseguridad han detectado campañas activas de phishing que explotan una función legítima de Microsoft 365 llamada Direct Send, permitiendo a los atacantes enviar correos falsos que parecen provenir de usuarios internos, sin necesidad de comprometer cuentas reales.

Esta función, pensada para que dispositivos como impresoras o aplicaciones envíen correos directamente a través de Microsoft 365, está siendo abusada para enviar mensajes que aparentan ser internos, utilizando direcciones válidas dentro de la organización. Al enviarse desde la entidad (tenant) de Microsoft 365, estos correos evitan los filtros tradicionales, ya que no infringen controles como SPF (que verifica el origen del remitente), DKIM (que asegura la integridad del mensaje) o DMARC (que define cómo actuar ante fallos de autenticación), y por eso suelen llegar a la bandeja de entrada.

Según el equipo de Varonis, los correos electrónicos imitaban notificaciones de mensajes de voz e incluían un archivo PDF con un código QR que dirigía a sitios falsos para robar credenciales de Microsoft 365.

Ejemplo de email de phishing

https://www.bleepingcomputer.com/news/security/microsoft-365-direct-send-abused-to-send-phishing-as-internal-users/

Microsoft reconoció el problema y lanzó controles adicionales para que las organizaciones puedan limitar el uso de Direct Send, aunque no lo considera una vulnerabilidad.

¿Cómo proteger tu organización?

Desde Varonis recomiendan tomar las siguientes medidas:

  • Desactivar o restringir Direct Send si no es esencial.
  • Habilitar la opción “Rechazar Direct Send” en el Centro de administración de Exchange.
  • Configurar políticas estrictas de DMARC (por ejemplo, p=reject), y aplicar SPF con fallo estricto (hardfail).
  • Marcar o poner en cuarentena correos internos no autenticados.
  • Implementar MFA (autenticación multifactor) y acceso condicional para todos los usuarios.
  • Usar políticas anti-spoofing (prevención de suplantación).
  • Capacitar al personal sobre el riesgo de códigos QR maliciosos (quishing).

Aunque Direct Send es una herramienta útil, su uso sin una configuración adecuada puede convertirse en una puerta de entrada para ataques. Configurarla correctamente y acompañarla con buenas prácticas de seguridad es clave para evitar que se convierta en un riesgo.

Fuente

https://risk3sixty.com/blog/security-advisory-microsoft-365

https://www.bleepingcomputer.com/news/security/microsoft-365-direct-send-abused-to-send-phishing-as-internal-users/

https://www.varonis.com/blog/direct-send-exploit