AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

**Cibercriminales Abusan de la Función “Direct Send” para Eludir Filtros de Seguridad en Microsoft 365**

admin

### 1. Introducción

En las últimas semanas, equipos de ciberinteligencia han detectado una sofisticada campaña de phishing que aprovecha la función “Direct Send” de Microsoft 365 para sortear tanto los mecanismos de protección nativos como soluciones de seguridad de correo electrónico de terceros. Esta técnica ha permitido a los atacantes entregar mensajes maliciosos directamente a buzones internos, sorteando barreras defensivas tradicionales y aumentando significativamente el riesgo de compromiso en organizaciones que confían en la plataforma de Microsoft.

### 2. Contexto del Incidente

La función “Direct Send” en Microsoft 365 está diseñada para facilitar la entrega de mensajes internos desde sistemas o dispositivos confiables, como impresoras multifunción, sistemas de gestión o alertas automatizadas. Sin embargo, actores maliciosos han identificado un vector para explotar esta característica, enviando correos electrónicos maliciosos que aparentan provenir de infraestructuras internas legítimas.

La campaña ha afectado principalmente a organizaciones con configuraciones laxas de autenticación de correo y políticas de transporte permisivas. Según los últimos informes, empresas del sector financiero, manufactura y servicios profesionales han sido especialmente impactadas.

### 3. Detalles Técnicos

Los ciberatacantes han empleado la función “Direct Send” para enviar correos electrónicos desde servidores SMTP internos o comprometidos, utilizando direcciones IP y dominios reconocidos por el entorno Microsoft 365 de la víctima. Este enfoque permite eludir mecanismos como SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) y DMARC (Domain-based Message Authentication, Reporting & Conformance), ya que el tráfico no se origina desde fuera de la red corporativa.

**Vectores de ataque y TTPs (MITRE ATT&CK):**

– **T1566.001 (Phishing: Spearphishing Attachment):** Los mensajes contienen adjuntos maliciosos, generalmente documentos ofimáticos con macros o enlaces a payloads alojados en servicios legítimos.
– **T1071.004 (Application Layer Protocol: DNS):** Algunos ataques aprovechan técnicas de exfiltración DNS para evadir DLP.
– **T1192 (Spearphishing Link):** Incorporación de enlaces a páginas de credenciales falsas o descarga de malware.

**Indicadores de Compromiso (IoC):**
– Remitentes internos inesperados.
– Enlaces a dominios recientemente registrados.
– Hashes de adjuntos coincidentes con campañas previas conocidas.

**CVE relacionadas:** Aunque no se trata de una vulnerabilidad de software clásica (CVE), sí se han reportado casos donde la explotación de configuraciones erróneas de Exchange Online Protection (EOP) y Microsoft Defender for Office 365 han sido clave en el éxito de la campaña.

Los analistas han registrado el uso de frameworks como Metasploit para la generación de payloads y ocasionalmente Cobalt Strike para el movimiento lateral tras la explotación inicial.

### 4. Impacto y Riesgos

Las consecuencias de este tipo de campañas son significativas, ya que permiten la entrega de archivos maliciosos y spear phishing de alta eficacia directamente en el entorno interno, con tasas de éxito superiores al 60% según datos de incidentes recientes. Los ataques han resultado en compromisos de cuentas privilegiadas, robo de credenciales y, en algunos casos, despliegue de ransomware y exfiltración de datos.

Además, la capacidad de evadir soluciones de Secure Email Gateway (SEG) y Microsoft Defender genera una falsa sensación de seguridad, incrementando el riesgo de incidentes regulatorios bajo normativas como GDPR y NIS2, especialmente en sectores regulados.

### 5. Medidas de Mitigación y Recomendaciones

Los expertos recomiendan:

– **Revisión y endurecimiento de las políticas de transporte y autenticación de correo** en Microsoft 365.
– **Restricción de la función “Direct Send”** únicamente a dispositivos y sistemas estrictamente necesarios, validando las direcciones IP y reforzando autenticaciones multifactor.
– **Implementación de reglas DLP (Data Loss Prevention)** y monitorización activa de buzones internos para detectar patrones anómalos.
– **Auditoría de logs de acceso y eventos SMTP** para identificar envíos sospechosos o inusuales.
– **Simulacros regulares de phishing** para concienciar a los usuarios sobre los riesgos de mensajes internos inesperados.

### 6. Opinión de Expertos

Según Marta Fernández, CISO de una multinacional tecnológica, “la confianza implícita en mecanismos como ‘Direct Send’ es un claro ejemplo de cómo la seguridad debe evolucionar hacia modelos Zero Trust. El abuso de funcionalidades legítimas por parte de atacantes nos obliga a replantear los controles internos y la visibilidad sobre el tráfico de red interno”.

Por su parte, Rubén Sánchez, analista senior de amenazas, advierte: “El bypass de Microsoft Defender y SEGs demuestra que los atacantes están un paso por delante, adaptando sus tácticas a las peculiaridades de cada entorno corporativo”.

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, este incidente subraya la importancia de no confiar ciegamente en las herramientas de seguridad integradas y de aplicar revisiones periódicas de la configuración de correo electrónico. Los usuarios, por su parte, deben ser cautelosos incluso con mensajes que aparenten provenir de sistemas internos o compañeros de trabajo, ya que la ingeniería social sigue siendo una de las armas más poderosas de los atacantes.

Las implicaciones legales y de cumplimiento también son relevantes, ya que la filtración de información personal o confidencial puede derivar en sanciones bajo el GDPR y la nueva directiva NIS2, que exige una respuesta rápida y la notificación de incidentes.

### 8. Conclusiones

La explotación de la función “Direct Send” en Microsoft 365 pone de manifiesto la necesidad de una defensa en profundidad, controles adaptativos y una auditoría continua de las configuraciones de seguridad. La evolución de las tácticas de los atacantes para eludir sistemas de defensa tradicionales exige a los responsables de ciberseguridad un enfoque proactivo, centrado tanto en la tecnología como en la formación y concienciación de los usuarios.

(Fuente: www.darkreading.com)