Siirry pääsisältöön
Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuunHae
Suomi
Valikko

Käynnissä oleva hyökkäyskampanja hyödyntää Microsoft 365:n Direct Send -ominaisuutta kalasteluviestien lähettämiseen

Haavoittuvuus15/2025

Julkaistu

Microsoft 365 Direct Send -ominaisuus on haavoittuvuus, minkä avulla monitoimilaitteet, tulostimet tai sovellukset voivat lähettää sähköpostia tunnistautumattomana suoraan Microsoft 365 -ympäristöön. Tietoturvatutkijat ovat havainneet, että uhkatoimijat käyttävät tätä ominaisuutta väärentääkseen sisäisten käyttäjien sähköpostiosoitetta ja lähettääkseen kalastelusähköpostiviestejä vaarantamatta heidän tilejään. Kun uhkatoimijalla on tiedossa verkkotunnus ja vastaanottajan sähköpostiosoite, tämä voi lähettää väärennettyjä sähköposteja, jotka näyttävät olevan peräisin organisaation sisältä. Tällaisten viestien lähettäminen ei edellytä tunnistautumista M365 -ominaisuus. Yksinkertaisuus tekee Direct Sendistä houkuttelevan ja vaivattoman tavan tietojenkalastelukampanjoille. Huomioithan että, Direct Send -ominaisuus on erikseen otettava pois käytöstä.

Haavoittuvuuden kohde

Direct Send on Microsoft Exchange Onlinen ominaisuus, joka on tarkoitettu organisaation sisäisten laitteiden (esim. tulostimien) ja sovellusten sähköpostin lähettämiseen ilman tunnistautumista palveluun. Se käyttää niin sanottua smart host -osoitetta, joka on helposti pääteltävissä (esimerkiksi muodossa 'organisaatio.mail.protection.outlook.com'). Tämä mahdollistaa sen, että lähettäjän ei tarvitse kirjautua mihinkään – tarvitaan vain tieto vastaanottajan sähköpostiosoitteesta ja organisaation smart host -osoitteesta.


Käynnissä oleva hyökkäyskampanja kohdistui toukokuun 2025 aikana yli 70:een pääosin Yhdysvalloissa toimivaan organisaatioon. Kampanja jatkuu edelleen.

Mistä on kysymys?

Direct Send -ominaisuutta hyväksikäyttävät hyökkääjät lähettivät sähköposteja PowerShell-skriptillä. Sähköpostiviesti oli väärennetty näyttämään siltä, että ne tulivat organisaation sisältä luotettavalta käyttäjältä. Koska viestit kulkivat Microsoftin infrastruktuurin kautta, monet turvamekanismit – kuten lähettäjän aitouden tarkistukset – ohitettiin. Ulkoisen lähettäjän viestin onnistui siis näyttäytyä siltä, että se tulee organisaation sisältä. Tällöin viesti saatetaan tulkita luotettavaksi M365-palvelun lisäksi myös kolmannen osapuolien palveluiden, kuten suojausratkaisun toimesta.

Miksi tämä menetelmä toimii:

  • Direct Send -ominaisuuden käyttö ei vaadi tunnistautumista tai tunnuksia.
  • Smart Host (esim. juksutus-fi.mail.protection.outlook.com ) hyväksyy sähköpostit mistä tahansa ulkoisesta lähteestä. 
  • Viestin vastaanottajan tulee olla Microsoft 365 -tilauksen käyttäjä. 
  • Lähettäjän osoite voidaan väärentää mille tahansa sisäiselle käyttäjälle.

Mitä voin tehdä?

Suosittelemme organisaatioille Reject Direct Send -toiminnallisuuden käyttöönottoa. Oletuksena tämä ei ole käytössä

  • Ota käyttöön “Reject Direct Send” Online Exchange -palvelussa. Aktivoi se käyttöön PowerShellillä: Set-OrganizationConfig -RejectDirectSend $true.
  • Käytä tiukkaa DMARC-politiikkaa (esim. p = reject).
  • Merkitse todentamattomat sisäiset sähköpostit tarkastettavaksi tai karanteeniin. 
  • Konfiguroi SPF-tarkistukset rajoittavammalle tasolle: viesti hylkäykseen (hardfail) jos sen tarkistus on hylätty.
  • Rajoita SPF:llä lähetysoikeudet tunnettuihin IP-osoitteisiin.
  • Määritä anti-spoofing-säännöt.
  • Ota käyttäjille monivaiheinen tunnistautuminen (MFA) käyttöön.
Ohje: Introducing more control over Direct Send in Exchange Online (Ulkoinen linkki)

Näin voit havaita hyväksikäytön

Tämän palvelun väärinkäytön havaitsemiseksi on tarkasteltava viestien otsikoita ja käyttäytymissignaaleita:

Viestien otsikoista etsi:

  • Vastaanotetut otsikot: Etsi "Smart Host" lla lähetetyt ulkoiset IP-osoitteet. 
  • Todennuksen tulokset: Sisäisten verkkotunnusten SPF-, DKIM- tai DMARC - mitkä ovat päätyneet virheeseen. 
  • X-MS-Exchange-CrossTenant-Id : Pitäisi vastata Microsoft 365 tunnusta. 
  • SPF-tietue: hae "Smart Host" tietoa

Käyttäytymisen indikaattorit: 

  • Käyttäjän itselleen lähettämät sähköpostit. 
  • PowerShell tai muut komentorivipohjaiset käyttäjäagentit. 
  • Epätavalliset IP-osoitteet (esim. VPN:t, ulkomaiset geolokaatiot). 
  • Epäilyttävät liitteet tai tiedostonimet.

Kaikki Direct Send -ominaisuuden kautta tulleet sähköpostit eivät ole haitallisia. Siksi konteksti on avainasemassa – älä oleta, vaan vahvista. Direct Send -ominaisuutta voidaan hyödyntää esimerkiksi:

  • Automaattiset ilmoitukset sisäisistä työkaluista. 
  • IT:n ja sovellusten skriptit lähettävät hälytyksiä tai raportteja. 
  • Kolmannen osapuolen integraatiot (esim. HR- tai markkinointialustat). 
Lisätitetoja tutkimuksesta: Ongoing Campaign Abuses Microsoft 365’s Direct Send to Deliver Phishing Emails (Ulkoinen linkki)