veste de chauve-souris – Shutterstock.com
L'équipe Threat Intelligence de Microsoft a récemment découvert que les attaquants exploitent de plus en plus les redirections de courrier électronique complexes et les protections contre l'usurpation de domaine mal configurées. Ils font croire que leurs messages de phishing proviennent des organisations attaquées elles-mêmes.
Les failles de configuration sont exploitées dans les campagnes d'attaque. Cela est particulièrement vrai pour les enregistrements MX-DNS (Mail Exchanger) qui ne pointent pas directement vers Microsoft 365 et pour lesquels les stratégies DMARC (Domain-based Message Authentication, Reporting and Compliance) et Sender Policy Framework (SPF) sont trop laxistes ou mal configurées.
“Les attaquants ont utilisé ce vecteur pour envoyer divers messages de phishing liés à diverses plates-formes de phishing en tant que service (PhaaS), telles que Tycoon 2FA”, explique Microsoft dans un article de blog.
Le géant de la technologie note que même si ce vecteur d’attaque n’est pas nouveau, son utilisation a considérablement augmenté depuis mi-2025. Les leurres de phishing vont de la réinitialisation de mots de passe aux documents partagés.
Routage « interne » et politiques faibles
L'erreur réside dans la manière dont les serveurs de messagerie de réception interprètent les messages entrants. Lorsque les enregistrements MX conduisent à des chemins de messagerie complexes, par exemple vers des systèmes sur site ou des serveurs de relais tiers antérieurs à Microsoft 365, les contrôles standard de protection contre le phishing tels que l'échec matériel SPF et l'application stricte de DMARC peuvent ne pas être correctement appliqués.
Dans ces cas-là, un e-mail de phishing peut arriver avec la propre adresse du destinataire dans les champs « À » et « De », un faux message qui, à première vue, semble être un e-mail interne. Dans certains cas, les attaquants modifient également le nom de l'expéditeur pour rendre le message plus convaincant, tout en définissant le champ « De » sur une adresse e-mail interne valide.
Combinés à des politiques DMARC et SPF laxistes ou manquantes, ces messages peuvent contourner les filtres anti-spam et atterrir directement dans les boîtes de réception des utilisateurs.
“Les messages de phishing envoyés via ce vecteur peuvent être plus efficaces car ils ressemblent à des messages envoyés en interne”, souligne Microsoft dans son message. « Une compromission réussie des informations d'identification par le biais d'attaques de phishing peut entraîner un vol de données ou des attaques de compromission de courrier électronique professionnel (BEC) contre l'organisation concernée ou ses partenaires, nécessitant des efforts de remédiation étendus et/ou, en cas de fraude financière, des pertes financières. »
Au-delà de la capture des informations d'identification, l'infrastructure PhaaS peut permettre des attaques par adversaire dans le support (AiTM), dans lesquelles les informations d'authentification sont transmises en temps réel et peuvent même contourner les mesures d'authentification multifacteur.
Les paramètres de sécurité peuvent aider
Microsoft souligne que configurer correctement les mécanismes d'authentification des e-mails constitue la défense la plus efficace contre ce vecteur de phishing. Il est recommandé aux organisations de mettre en œuvre des politiques strictes de rejet DMARC et d'appliquer des échecs matériels SPF afin que les e-mails non authentifiés prétendant provenir de leurs domaines soient rejetés ou mis en quarantaine en toute sécurité.
De plus, il est recommandé de configurer correctement les connecteurs tiers, tels que les filtres anti-spam, les services d'archivage ou les relais de messagerie existants. Cela permet de calculer et d’appliquer les contrôles de phishing de manière cohérente.
Les locataires dont les enregistrements MX pointent directement vers Microsoft 365 ne sont pas concernés par ce problème. Les mécanismes natifs de détection et de filtrage des usurpations d'identité de Microsoft empêchent ces types d'attaques et sont appliqués par défaut. Pour les infrastructures de messagerie plus complexes, Microsoft a fourni des directives spécifiques sur les règles de messagerie et les procédures d'authentification afin de réduire les risques et de bloquer les faux e-mails avant même qu'ils n'atteignent les boîtes de réception des utilisateurs finaux.
Au-delà des correctifs d'authentification des e-mails, Microsoft encourage les organisations à renforcer leurs mesures de protection de l'identité contre le phishing AiTM, une méthode qui contourne les mots de passe en détournant les sessions authentifiées. Les mesures de contrôle recommandées incluent une MFA résistante au phishing, telle que les clés de sécurité FIDO2, l'application des droits d'accès conditionnels et des mesures de protection telles que la correspondance des numéros MFA pour limiter l'impact des jetons volés. (jm)