AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

**Ciberdelincuentes aprovechan la función “Direct Send” de Microsoft 365 para burlar filtros de correo y robar credenciales**

admin

### 1. Introducción

En las últimas semanas, analistas de ciberseguridad han detectado una campaña de phishing en curso que explota una funcionalidad poco conocida de Microsoft 365, denominada “Direct Send”. Esta táctica permite a los atacantes evadir controles tradicionales de seguridad de correo electrónico, incrementando el riesgo de robo de credenciales corporativas y facilitando posteriores movimientos laterales dentro de entornos empresariales. El incidente pone de relieve la necesidad de monitorizar y restringir funcionalidades nativas que, mal configuradas, pueden abrir la puerta a amenazas avanzadas.

### 2. Contexto del Incidente

El phishing sigue siendo el principal vector de entrada en ataques dirigidos contra organizaciones, según informes recientes de ENISA y el Informe de Ciberamenazas de Mandiant 2024. Si bien las soluciones tradicionales de seguridad perimetral y filtros antispam han evolucionado, los actores de amenazas buscan constantemente métodos para sortear estas barreras. La campaña analizada aprovecha “Direct Send”, una característica de Microsoft 365 que permite el envío directo de correos desde dispositivos o aplicaciones internas sin autenticación SMTP, normalmente utilizada para impresoras multifunción o sistemas de alertas.

Investigadores de múltiples CERTs y equipos SOC han reportado un incremento del 27% en intentos de phishing que utilizan esta técnica desde el primer trimestre de 2024. El uso de infraestructura legítima y la reducción de indicadores clásicos de phishing complican la detección por parte de soluciones SIEM y gateways de correo.

### 3. Detalles Técnicos

**a) Funcionamiento de Direct Send**

La función “Direct Send” permite que dispositivos dentro del entorno de una organización envíen correos electrónicos a través de los servidores de Exchange Online, sin requerir autenticación SMTP ni credenciales de usuario. Técnicamente, el envío se realiza mediante la conexión directa al puerto 25 del servidor SMTP `smtp.office365.com`, aceptando mensajes desde direcciones IP internas permitidas.

**b) Vectores de ataque y TTPs**

Los atacantes comprometen dispositivos internos (por ejemplo, impresoras, servidores o IoT) o aprovechan configuraciones laxas de las listas de IPs permitidas para enviar phishing directamente al buzón de los empleados. El correo aparenta provenir de fuentes internas confiables, pasando por alto políticas SPF, DKIM y DMARC debido a la autenticidad del canal.

– **TTP MITRE ATT&CK**:
– TA0001 (Initial Access): Phishing (T1566)
– TA0005 (Defense Evasion): Exploitation of trusted relationships (T1199)
– TA0006 (Credential Access): Phishing for Information (T1598)

**c) Indicadores de compromiso (IoC)**

– Envío de correos desde dispositivos no autorizados o fuera de horario habitual.
– Asuntos y cuerpos de correo que simulan notificaciones habituales (facturación, cambio de contraseña, etc.).
– URLs acortadas o dominios de phishing que simulan portales de autenticación de Microsoft.
– Anomalías en los logs de Exchange: conexiones SMTP desde dispositivos no categorizados.

**d) CVEs y exploits conocidos**

Actualmente, no existe un CVE específico asociado a esta técnica, ya que se trata de un abuso de funcionalidad legítima y no de una vulnerabilidad. Sin embargo, frameworks de post-explotación como Cobalt Strike y Metasploit han incorporado módulos para automatizar el envío de phishing interno mediante Direct Send, facilitando ataques masivos desde infraestructuras comprometidas.

### 4. Impacto y Riesgos

Las organizaciones afectadas se enfrentan a riesgos significativos:

– **Compromiso de credenciales**: Elevado porcentaje de éxito debido a la confianza en el remitente interno.
– **Movimientos laterales**: Una vez obtenidas credenciales, los atacantes pueden escalar privilegios y acceder a recursos críticos.
– **Evasión de controles**: Dificultad para bloquear o filtrar estos correos sin interrumpir servicios internos legítimos.
– **Incumplimiento normativo**: Violaciones de GDPR o NIS2 si los datos personales o estratégicos se ven comprometidos.

Según estimaciones de Ponemon Institute, el coste medio de un incidente de phishing exitoso en Europa supera los 160.000 euros, sin contar daños reputacionales o sanciones regulatorias.

### 5. Medidas de Mitigación y Recomendaciones

– **Revisión y endurecimiento de configuraciones de Direct Send**: Restringir las IPs autorizadas, registrar y auditar su uso.
– **Implementación de Zero Trust en correo electrónico**: Validar la autenticidad de todos los envíos, incluso internos.
– **Monitorización avanzada**: Crear alertas en SIEM para envíos atípicos de dispositivos no clasificados.
– **Educación y concienciación**: Formar a los usuarios sobre la posibilidad de phishing interno.
– **Autenticación multifactor (MFA)**: Obligar a MFA para el acceso a recursos críticos y portales de Microsoft 365.
– **Revisión de logs y respuesta temprana**: Inspeccionar logs de Exchange y endpoints para detectar compromisos y reaccionar de manera proactiva.

### 6. Opinión de Expertos

Especialistas de SANS Institute y equipos de respuesta de grandes proveedores cloud coinciden en que este tipo de abuso representa una tendencia creciente. “Las funcionalidades nativas mal entendidas o desprotegidas en SaaS pueden convertirse en puertas traseras para atacantes sofisticados”, señala Marta Jiménez, analista senior de ciberamenazas. Recomienda auditar de forma periódica los servicios cloud y no confiar ciegamente en la seguridad por defecto de grandes plataformas.

### 7. Implicaciones para Empresas y Usuarios

Para CISOs y responsables de seguridad, el incidente subraya la necesidad de aplicar principios de mínimo privilegio y segmentación, incluso en servicios cloud ampliamente adoptados. Las auditorías periódicas y la gestión de accesos cobran especial relevancia en el contexto de cumplimiento normativo (GDPR, NIS2). Los usuarios finales, por su parte, deben ser conscientes de que la procedencia interna de un correo no garantiza su legitimidad, y extremar la cautela ante cualquier solicitud de credenciales.

### 8. Conclusiones

El abuso de “Direct Send” en Microsoft 365 pone de manifiesto la sofisticación creciente de las campañas de phishing y la importancia de auditar continuamente la superficie de ataque, incluyendo funcionalidades nativas de plataformas cloud. La combinación de técnicas de evasión y explotación de confianza interna exige una respuesta integral, que combine tecnología, procesos y formación para mitigar el riesgo.

(Fuente: www.bleepingcomputer.com)