Tội phạm mạng đang ngày càng khai thác một tính năng hợp pháp của Microsoft 365 được thiết kế để mang lại sự tiện lợi cho doanh nghiệp, biến Direct Send của Exchange Online thành một vector nguy hiểm cho các chiến dịch lừa đảo (phishing) và các cuộc tấn công mạng chiếm đoạt email doanh nghiệp (BEC).

Các nhà nghiên cứu bảo mật đang cảnh báo về việc các tác nhân độc hại lợi dụng con đường đáng tin cậy này để bỏ qua kiểm tra xác thực và gửi các tin nhắn giả mạo nội bộ một cách thuyết phục.

Những tin nhắn này thường né tránh các biện pháp kiểm soát bảo mật truyền thống, đặt ra một mối đe dọa mạng đáng kể cho các tổ chức.

Tính năng Direct Send của Microsoft 365 Exchange Online

Direct Send của Microsoft 365 Exchange Online được thiết kế ban đầu để giải quyết một thách thức thực tế trong môi trường doanh nghiệp.

Nhiều thiết bị và ứng dụng kế thừa, chẳng hạn như máy in đa chức năng, máy quét, hệ thống tự động hóa tòa nhà và phần mềm kinh doanh cũ hơn, cần khả năng gửi email trong môi trường công ty.

Tuy nhiên, những hệ thống này thường thiếu các khả năng xác thực hiện đại cần thiết cho các phương thức gửi email an toàn hơn.

Để duy trì các quy trình làm việc kinh doanh quan trọng, Direct Send cho phép các tin nhắn từ các thiết bị này bỏ qua các quy trình xác thực và kiểm tra bảo mật nghiêm ngặt.

Sự tiện lợi trong vận hành này, dù cần thiết, đã không may trở thành một điểm yếu có thể bị khai thác, tạo điều kiện cho các tấn công mạng tinh vi.

Khai thác Direct Send cho các Cuộc Tấn công Mạng

Các báo cáo từ các hãng bảo mật lớn đã chỉ ra sự gia tăng đáng kể các hoạt động độc hại lợi dụng Direct Send.

Cisco Talos đã quan sát thấy việc sử dụng Direct Send ngày càng nhiều cho các chiến dịch lừa đảo và tấn công BEC.

Những phát hiện này được củng cố bởi nghiên cứu từ các nhà cung cấp bảo mật hàng đầu như Varonis, Abnormal Security, Ironscales, Proofpoint, Barracuda, Mimecast và Arctic Wolf.

Tất cả đều ghi nhận việc nhắm mục tiêu tích cực vào các tổ chức thông qua khai thác Direct Send trong những tháng gần đây, biến nó thành một mối đe dọa mạng thường trực.

Việc lạm dụng Direct Send thể hiện sự khai thác cơ hội một kênh liên lạc được tin cậy nội bộ.

Kẻ tấn công mô phỏng lưu lượng truy cập từ các thiết bị hoặc ứng dụng hợp pháp, gửi các tin nhắn không được xác thực nhưng lại có vẻ như chúng đến từ các tài khoản nội bộ và hệ thống đáng tin cậy.

Kỹ thuật Tấn công và Giả mạo

Nghiên cứu từ nhiều nhà cung cấp bảo mật đã tiết lộ các kỹ thuật tấn công mạng lặp lại đã chứng minh hiệu quả trên toàn cầu.

Kẻ tấn công thường xuyên giả mạo người dùng nội bộ, các nhà điều hành cấp cao hoặc bộ phận hỗ trợ IT, như đã được Abnormal Security và Varonis ghi nhận chi tiết.

Các mồi nhử kỹ thuật xã hội theo chủ đề kinh doanh rất phổ biến, bao gồm yêu cầu phê duyệt nhiệm vụ, thông báo thư thoại, cảnh báo dịch vụ, và các lời nhắc chuyển khoản ngân hàng hoặc thanh toán khẩn cấp.

Proofpoint đặc biệt nhấn mạnh bản chất ngày càng tinh vi của các payload kỹ thuật xã hội này.

Kỹ thuật Che giấu và Né tránh

Để tăng cường hiệu quả các cuộc tấn công mạng, những kẻ tấn công hiện đại kết hợp các kỹ thuật che giấu phức tạp.

Các kỹ thuật này được thiết kế để né tránh các bộ lọc nội dung và các giải pháp bảo mật email truyền thống.

Ironscales, Barracuda và Mimecast đã báo cáo việc quan sát thấy mã QR được nhúng trong tài liệu PDF, các tin nhắn có nội dung tối thiểu, và email không có nội dung kèm theo các tệp đính kèm được che giấu.

Những phương thức này giúp bỏ qua các quy trình quét bảo mật thông thường, trực tiếp chuyển hướng nạn nhân đến các trang lừa đảo để thu thập thông tin xác thực.

Đặc biệt nguy hiểm là việc kẻ tấn công khai thác cơ sở hạ tầng Exchange đáng tin cậy và luồng SMTP hợp pháp để thừa hưởng sự tin cậy ngầm định.

Điều này làm giảm đáng kể sự kiểm tra đối với các payload độc hại.

Cơ chế Bảo mật Email Bị Bỏ qua

Điểm yếu cơ bản của vấn đề này nằm ở việc Direct Send được miễn trừ khỏi quy trình xác minh người gửi miền email tiêu chuẩn.

Thông thường, có ba cơ chế xác thực quan trọng bảo vệ người nhận email khỏi các tin nhắn giả mạo hoặc độc hại:

• DomainKeys-Identified Mail (DKIM): Cung cấp xác minh chữ ký mã hóa, đảm bảo email không bị thay đổi trên đường truyền và đến từ người gửi được ủy quyền.
• Sender Policy Framework (SPF): Ủy quyền các dải IP gửi cụ thể có thể gửi email thay mặt cho một miền.
• Domain-based Message Authentication, Reporting and Conformance (DMARC): Định nghĩa các chính sách xử lý (ví dụ: cách ly, từ chối) cho thư không tuân thủ SPF hoặc DKIM, đồng thời cung cấp khả năng báo cáo.

Các ví dụ thực tế đã chứng minh mức độ nguy hiểm của việc bỏ qua các cơ chế này.

Các thông báo tranh chấp giả mạo của American Express và các thông báo thanh toán ACH giả mạo, xuất hiện như tin nhắn nội bộ, đã thành công bỏ qua xác minh người gửi.

Nếu những tin nhắn này đã trải qua quét DMARC, DKIM và SPF, chúng chắc chắn sẽ bị từ chối do không hợp lệ.

Thay vào đó, Direct Send đã ngăn chặn hoàn toàn việc kiểm tra này, cho phép các tin nhắn độc hại đi qua và tiếp cận hộp thư đến của người dùng.

Tìm hiểu thêm về các cơ chế xác thực email quan trọng tại CISA.gov.

Thách thức và Phụ thuộc của Doanh nghiệp

Tình hình này tạo ra một thách thức đáng kể cho các doanh nghiệp, đặc biệt là về an ninh mạng.

Nhiều tổ chức vẫn duy trì các phụ thuộc hợp pháp và quan trọng vào Direct Send.

Điều này là do họ chưa di chuyển các hệ thống quét hoặc quy trình làm việc cũ hơn sang các phương thức gửi được xác thực hoặc các connector đối tác hiện đại hơn.

Việc vội vàng vô hiệu hóa Direct Send mà không có tầm nhìn rõ ràng về các phụ thuộc và kế hoạch thay đổi phù hợp có nguy cơ làm gián đoạn các hoạt động kinh doanh thiết yếu.

Chẳng hạn như quá trình xử lý hóa đơn, phân phối tài liệu nội bộ, hoặc thông báo cơ sở vật chất.

Microsoft đã nhận thức được những hệ lụy về bảo mật và đã giới thiệu bản Public Preview của điều khiển RejectDirectSend.

Các khả năng báo cáo sắp tới của Microsoft nhằm mục đích giúp các quản trị viên giảm thiểu rủi ro một cách tuần tự mà không gây ảnh hưởng kinh doanh ngoài ý muốn.

Chiến lược Phòng thủ Chống lại Mối Đe dọa Mạng

Với việc khai thác Direct Send ngày càng phổ biến, các chuyên gia bảo mật khuyến nghị một chiến lược phòng thủ đa tầng để củng cố an ninh mạng toàn diện.

Các tổ chức nên xem xét vô hiệu hóa hoặc hạn chế Direct Send khi có thể, bắt đầu bằng việc kiểm kê kỹ lưỡng tất cả các phụ thuộc hiện tại.

Mặc dù tính năng báo cáo sắp tới của Microsoft sẽ hợp lý hóa quá trình này, các quản trị viên nên ngay lập tức xem xét danh mục thiết bị nội bộ, bản ghi SPF hiện có và cấu hình connector Exchange.

Kích hoạt Điều khiển RejectDirectSend

Khi các luồng thư hợp pháp đã được xác định và xác thực, hãy bật điều khiển RejectDirectSend mới của Microsoft.

Điều này có thể được thực hiện bằng cách sử dụng lệnh PowerShell sau trong môi trường Exchange Online:

Set-OrganizationConfig -RejectDirectSend $true

Việc này sẽ giúp ngăn chặn các email giả mạo gửi qua Direct Send từ các miền không được xác thực, giảm đáng kể mối đe dọa mạng.

Chuyển đổi sang SMTP được Xác thực

Di chuyển sang SMTP được xác thực đại diện cho giải pháp dài hạn an toàn nhất và bền vững nhất cho an ninh mạng doanh nghiệp.

Các tổ chức nên ưu tiên sử dụng gửi qua SMTP client được xác thực trên cổng 587 cho các thiết bị có khả năng lưu trữ thông tin xác thực hiện đại hoặc tận dụng danh tính dành riêng cho ứng dụng.

Việc này cần tuân thủ chặt chẽ tài liệu hướng dẫn của Microsoft.

Đối với các thiết bị không thể sử dụng gửi được xác thực trực tiếp, hãy triển khai các relay SMTP được cấu hình với các hạn chế IP nguồn được giới hạn chặt chẽ.

Ngoài ra, thiết lập các connector đối tác dựa trên chứng chỉ hoặc IP cho các dịch vụ bên thứ ba gửi thư hợp pháp với các miền được chấp nhận.

Tăng cường Xác thực và Căn chỉnh Email

Tăng cường xác thực và căn chỉnh email cung cấp các lớp bảo vệ bổ sung chống lại các tấn công mạng.

Duy trì bản ghi SPF với tất cả các IP gửi được ủy quyền bắt buộc và áp dụng cấu hình Soft Fail theo hướng dẫn từ Messaging, Malware and Mobile Anti-Abuse Working Group và Microsoft.

Thực thi ký DKIM trên tất cả các email đi và giám sát các báo cáo tổng hợp DMARC để phát hiện lưu lượng truy cập không được xác thực, trông giống nội bộ bất thường, có thể chỉ ra các nỗ lực khai thác hoặc các mối đe dọa mạng tiềm ẩn.

Chính sách, Quyền truy cập và Giám sát

Các cải tiến về chính sách, quyền truy cập và giám sát hoàn thiện chiến lược phòng thủ an ninh mạng.

Hạn chế lưu lượng egress trên cổng 25 từ các phân đoạn mạng người dùng chung, đảm bảo chỉ các máy chủ được chỉ định và được kiểm soát mới có thể gửi lưu lượng SMTP.

Sử dụng Conditional Access hoặc các chính sách tương đương để chặn các đường dẫn xác thực kế thừa thiếu biện minh kinh doanh rõ ràng.

Cấu hình cảnh báo chi tiết cho các tin nhắn miền nội bộ không mong muốn thiếu xác thực phù hợp.

Như Ironscales đã quan sát một cách thích đáng, “Bạn không thể chặn những gì bạn không thấy”, nhấn mạnh rằng khả năng hiển thị đầy đủ đóng vai trò là điều kiện tiên quyết để thực thi chính sách bảo mật một cách tự tin.

Những biện pháp phòng thủ này, khi được áp dụng, sẽ xếp lớp lên các điều khiển nền tảng của Microsoft, giúp giảm thời gian kẻ tấn công ẩn nấp (dwell time) và rút ngắn cửa sổ phát hiện-đến-khắc phục khi các tổ chức nỗ lực bảo vệ tính năng có thể bị khai thác này.