Barracuda full logo

Microsoft Direct Send-Phishing-Angriffe erklärt

Themen:
4. Aug.. 2025
|
Christine Barry

Die Mitarbeiter von Barracuda haben eine Phishing-Kampagne entdeckt, die über die „Direct Send“-Funktion von Microsoft 365 interne E-Mails nachahmt und so die Sicherheitsvorkehrungen umgeht. Dabei handelt es sich um einen groß angelegten Angriff, bei dem eine legitime Microsoft 365-Funktion missbraucht wird, um interne E-Mail-Kommunikation nachzuahmen. Technische Details zu diesem Angriff finden Sie im Barracuda Security Advisory und im Cybersecurity Bedrohung Advisory.

Führen Sie die folgenden Schritte aus, um sicherzustellen, dass Ihr Barracuda Email Gateway Defense so konfiguriert ist, dass diese Bedrohung abgewehrt wird:

Die Phishing-Kampagne stellt ein erhebliches Risiko für ungeschützte Unternehmen mit Microsoft 365 dar. Die E-Mails geben sich als interne Unternehmens-E-Mail aus und enthalten einen PDF-Anhang mit einem QR-Code. Die Empfänger werden angewiesen, den QR-Code zu scannen, um eine Sprachnachricht abzurufen.

 

PDF-Dokument mit QR-Codes über Bleeping Computer

PDF-Dokument mit QR-Codes über Bleeping Computer

Der QR-Code leitet das Opfer zu einem gefälschten Microsoft-Anmeldeformular weiter, wo die Bedrohungsakteure die Zugangsdaten des Nutzers abfangen. Die gestohlenen Zugangsdaten werden dann verkauft und/oder für einen größeren Angriff auf das Unternehmen genutzt.

Was ist Direct Send?

Direct Send ist ein offener E-Mail-Pfad, der das Senden von E-Mails ohne Authentifizierung ermöglicht. Hierbei handelt es sich um eine legitime, aber wenig sichere Microsoft-Funktion, über die Nicht-E-Mail-Server E-Mails senden können. Die meisten Unternehmen nutzen die Funktion, um vernetzten Druckern und Geschäftsanwendungen das Versenden von E-Mails an eine Person in derselben Domain zu ermöglichen. Weitere Informationen dazu finden Sie in diesem Microsoft Learn-Dokument.

Das Wichtigste hierbei ist, dass Direct Send-Nachrichten eine interne Infrastruktur verwenden und keine E-Mail-Autorisierung und Security-Maßnahmen durchlaufen müssen. Direct Send-Traffic wird nicht über externe Email-Security-Gateways geleitet. Daher müssen Unternehmen spezielle Maßnahmen ergreifen, um Direct Send in Ihrer Umgebung zu sichern.

Seit April 2025 gibt es bei Microsoft die Funktion „Reject Direct Send“. Diese Funktion blockiert den gesamten Direct-Send-Datenverkehr und ist normalerweise deaktiviert. Die Funktion kann legitime Geschäftsfunktionen beeinträchtigen, daher empfiehlt Microsoft, bei der Aktivierung der Funktion Vorsicht walten zu lassen.

Worin besteht die Sicherheitslücke?

Es ist wichtig zu verstehen, dass es sich hierbei nicht um eine ungepatchte Schwachstelle in einem Microsoft- oder Drittanbietersystem handelt. In unserer Cybersecurity-Bedrohungsmeldung wird dies ausführlicher behandelt:

Dieser Angriff ist aus mehreren Gründen besonders besorgniserregend:  

  • Missbrauch einer legitimen Funktion: Der Angriff nutzt eine integrierte Microsoft 365-Funktion aus, die sich nur schwer deaktivieren lässt, ohne den Geschäftsbetrieb zu stören.
  • Kein CVE zugewiesen: Da es sich nicht um eine Software-Schwachstelle handelt, sondern um einen Missbrauch beabsichtigter Funktionen, fehlt eine CVE-ID, was die Nachverfolgung und Behebung erschwert.
  • Umgehung der E-Mail-Sicherheit: Herkömmliche E-Mail-Abwehrmechanismen, die sich auf SPF, DKIM und DMARC stützen, sind gegen diese Taktik unwirksam.
  • Internes Sender-Spoofing: E-Mails scheinen von vertrauenswürdigen internen Quellen zu stammen, was die Wahrscheinlichkeit einer Nutzerinteraktion erhöht.
  • Weit verbreitete Gefährdung: Jedes Unternehmen, das Direct Send verwendet, ist potenziell gefährdet.

Wie Sie sich schützen können

Doch ist es möglich, Direct Send zu sichern, ohne alle Direct Send-Mails abzuschalten. Kunden von Barracuda Email Gateway Defense haben Direct Send möglicherweise schon bei der Konfiguration der Konnektoren für Microsoft 365 gesichert. Die Schritte zum Konfigurieren der Direct Send-Security finden Sie in diesem Barracuda Campus-Artikel. Dort finden Sie eine Schritt-für-Schritt-Anleitung, die nur wenige Minuten in Anspruch nimmt. Bitte wenden Sie sich bei Bedarf an den Barracuda-Support, wenn Sie Hilfe bei der Einrichtung benötigen.

Wenn Sie nicht absolut sicher sind, ob Direct Send bei Ihnen sicher ist, folgen Sie bitte den Schritten im Barracuda Campus-Dokument oder wenden Sie sich an den Barracuda Support.

Weitere Ressourcen:

Christine Barry

Christine Barry ist Senior Chief Blogger und Social Media Manager bei Barracuda.  Bevor sie zu Barracuda kam, war Christine über 15 Jahre lang als Außendiensttechnikerin und Projektmanagerin für K12- und KMU-Kunden tätig.  Sie hat mehrere Zugangsdaten für Technologie und Projektmanagement, einen Bachelor of Arts und einen Master of Business Administration. Sie ist Absolventin der University of Michigan.

Vernetzen Sie sich hier auf LinkedIn mit Christine.

Verwandte Beiträge:
Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Email Threat Radar – September 2025
Email Threat Radar – September 2025
 Die wichtigsten Bedrohungsakteure im August: Ransomware, Spionage und Infostealer
Die wichtigsten Bedrohungsakteure im August: Ransomware, Spionage und Infostealer
Den Blog durchsuchen

Der Ransomware Insights Bericht 2025

Wichtige Erkenntnisse über die Erfahrungen und Auswirkungen von Ransomware auf Unternehmen weltweit

Zum Report

Abonnieren Sie den Barracuda-Blog.

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Managed Vulnerability Security: Schnellere Behebung von Schwachstellen, weniger Risiken, einfachere Compliance 

Erfahren Sie, wie einfach es sein kann, die von Cyberkriminellen bevorzugte Schwachstellen zu finden.

WEBINAR ANSEHEN

Melden Sie sich an, um aktuelle Bedrohungsinformationen, Branchenkommentare und mehr zu erhalten.

Erhalten Sie die neuesten Nachrichten, Forschungsergebnisse und Analysen direkt in Ihren Posteingang.