رصدت فرق أمنية ارتفاعًا في نشاط الجهات المهاجمة التي تستغل ميزة Exchange Online Direct Send في بيئات Microsoft 365 لتنفيذ هجمات تصيّد وتزوير بريدية (BEC). تستغل هذه الخاصية مسارًا موثوقًا يسمح بإرسال رسائل من أجهزة أو تطبيقات داخلية دون إجراء مصادقة كاملة، ما يمكّن المهاجمين من تجاوز فحوصات المصادقة التقليدية مثل SPF وDKIM وDMARC وجعل الرسائل تبدو وكأنها صادرة من حسابات داخلية موثوقة.
لماذا تُستغل Direct Send وما الذي يجعلها فعّالة
صُممت ميزة Direct Send لتسهيل إرسال البريد من أجهزة داخلية (مثل طابعات أو أجهزة شبكية قديمة) إلى صناديق البريد ضمن المستأجر. المهاجمون يستغلون هذا القناة بإرسال رسائل غير مُصادقة تبدو وكأنها من موارد داخلية، ما يقلل شكّ المتلقي ويزيد احتمالات نجاح رسائل التصيد أو هجمات BEC.
مخاطر وتكتيكات المهاجمين
الاستغلال يُتيح للمهاجمين إرسال روابط وخوادم تصيّد أو مرفقات خبيثة من عناوين تبدو داخلية، كما يُستخدم في محاولات انتحال هوية داخلية لطلب تحويلات مالية أو سرقة بيانات حساسة. تكمن الخطورة في أن الرسائل التي تمر عبر هذا المسار قد لا تخضع لنفس مستوى الفحص الذي تُخضع له الرسائل العادية، ما يجعل كشفها أصعب.
توصيات دفاعية عملية
تقييد أو إيقاف استخدام Direct Send حيث أمكن، والانتقال إلى SMTP مصادق للأجهزة والتطبيقات التي تدعم المصادقة.
تطبيق سياسات DMARC صارمة ومراقبة تقارير الفشل لاكتشاف أنماط إرسال غير طبيعية.
فرض قواعد تحقق داخلية من الرؤوس (header validation) والتقليل من الاستثناءات التي تسمح بمرور رسائل غير مُحقَّقة.
مراقبة حركة البريد الصادر والداخلية لرصد محاولات محاكاة الأجهزة أو سلوك relay غير اعتيادي.
توعية الموظفين حول رسائل تبدو داخلية وغير متوقعة وضرورة التحقق قبل تنفيذ أي أوامر مالية.
الكلمات المفتاحية:
