Peneliti keamanan menemukan bahwa fitur Direct Send di Microsoft 365 telah disalahgunakan oleh aktor jahat untuk mengirimkan email phishing yang tampak berasal dari pengguna internal dalam organisasi. Teknik ini memanfaatkan kelemahan pada konfigurasi Direct Send untuk melewati mekanisme autentikasi email seperti SPF, DKIM, dan DMARC.
Bagaimana Serangan Ini Bekerja?
- Direct Send adalah fitur pada Microsoft 365 yang memungkinkan perangkat seperti printer, scanner, atau aplikasi pihak ketiga mengirim email langsung melalui server Exchange Online, tanpa autentikasi.
- Penyerang menyalahgunakan fitur ini untuk mengirim email yang tampil seolah-olah berasal dari alamat email sah dalam domain target.
- Email tersebut tidak melalui proses autentikasi standar karena Direct Send tidak memerlukan login atau kredensial SMTP.
Dampak dan Risiko
- Bypass Autentikasi: Email tampak valid karena berasal dari alamat internal.
- Sulit Dideteksi: Email phishing sulit dibedakan dari email resmi internal.
- Penyebaran Malware: Berpotensi membawa link berbahaya, file malware, atau kredensial harvesting.
- Reputasi Perusahaan: Dapat merusak kepercayaan antar karyawan dan mitra bisnis.
Contoh Skenario Serangan
- Email phishing yang berpura-pura dari HR, meminta karyawan untuk mengisi formulir benefit tahunan.
- Link palsu ke halaman login Microsoft yang sebenarnya adalah phishing.
- Pengiriman invoice palsu dari alamat finance internal.
Rekomendasi Mitigasi dari Microsoft dan Peneliti Keamanan
- Hindari Penggunaan Direct Send Jika Tidak Dibutuhkan.
- Gunakan SMTP Auth atau API Microsoft Graph yang lebih aman untuk pengiriman email dari aplikasi.
- Implementasi Transport Rule: Blokir email dari eksternal yang menyamar sebagai domain internal.
- Perketat SPF, DKIM, dan DMARC: Meski Direct Send melewati ini, tetap penting untuk mencegah penyalahgunaan lain.
- Monitoring Log: Pantau aktivitas pengiriman email yang mencurigakan.
- Security Awareness Training: Tingkatkan kesadaran karyawan akan email phishing.
Pernyataan Microsoft
Microsoft menyadari potensi penyalahgunaan ini namun menegaskan bahwa Direct Send adalah fitur yang bekerja sesuai desain. Microsoft mendorong admin untuk menggunakan opsi pengiriman email yang lebih aman jika memungkinkan.
Sumber:
BleepingComputer – Microsoft 365 Direct Send Abused to Send Phishing as Internal Users