Barracuda full logo

Explicación de los ataques de phishing de Microsoft Direct Send

Temas:
4 ago 2025
|
Christine Barry

Los analistas de seguridad de Barracuda detectaron recientemente una campaña de phishing que utiliza la función de envío directo de Microsoft 365 para eludir las funciones de protección del correo electrónico. Se trata de un ataque a gran escala que abusa de una función legítima de Microsoft 365 para suplantar comunicaciones internas. Consulte el aviso de seguridad de Barracuda y el aviso sobre amenazas a la ciberseguridad para obtener más información técnica sobre este ataque.

Siga estos pasos para confirmar que su Barracuda Email Gateway Defense está configurado para mitigar esta amenaza

Esta campaña de phishing presenta un gran riesgo para las empresas desprotegidas que utilizan Microsoft 365. Los mensajes se hacen pasar por un correo electrónico interno de la empresa y llevan un archivo PDF adjunto que incluye un código QR. Se indica a los destinatarios que escaneen el código QR para poder acceder a un mensaje de voz.

 

Documento PDF con códigos QR, a través de Bleeping ordenador.

Documento PDF con códigos QR, a través de Bleeping ordenador.

El código QR dirige a la víctima a un formulario de inicio de sesión falso de Microsoft, donde los actores de amenazas capturarán las credenciales del usuario. Las credenciales robadas se venderán y/o se utilizarán para iniciar un ataque mayor contra la empresa.

¿Qué es Direct Send?

Direct Send es una vía de correo electrónico abierta que permite enviar correos electrónicos sin autenticación. Esta es una función legítima pero de baja seguridad de Microsoft que permite a los servidores que no son de correo enviar correo electrónico. La mayoría de las empresas usarían esta función para permitir que las impresoras en red y las aplicaciones empresariales envíen correos electrónicos a una persona en el mismo dominio. Puede obtener más información en este documento de Microsoft Learn.

Lo más importante a tener en cuenta es que los mensajes de Direct Send utilizan una infraestructura interna y no necesitan pasar las medidas de autorización y seguridad del correo electrónico. El tráfico de envío directo no pasará por Email Security Gateway externas. Debe tomar medidas específicas para proteger Direct Send en su entorno.

Microsoft introdujo la función "Reject Direct Send" en abril de 2025. Esta función bloquea todo el tráfico de Direct Send y está desactivada de forma predeterminada. El uso de esta función puede interrumpir las funciones empresariales legítimas, por lo que Microsoft insta a los administradores a tener cuidado al habilitar la función.

¿Cuál es el exploit?

Es importante entender que esta no es una vulnerabilidad sin parchear en ningún sistema de Microsoft o de terceros. Nuestro Aviso de Amenazas de Ciberseguridad cubre esto con más detalle:

Este ataque es particularmente preocupante debido a varios factores:  

  • Abuso de una función legítima: el ataque aprovecha una función integrada de Microsoft 365, lo que dificulta su desactivación sin interrumpir las operaciones empresariales.
  • Sin CVE asignado: dado que esto no es una vulnerabilidad de software, sino un uso indebido de la funcionalidad prevista, carece de un identificador CVE, lo que complica su seguimiento y remediación.
  • Evita la protección del correo electrónico: las defensas tradicionales del correo electrónico que se basan en SPF, DKIM y DMARC no son eficaces contra esta táctica.
  • Internal Sender Spoofing: los correos electrónicos parecen provenir de fuentes internas de confianza, lo que aumenta la probabilidad de interacción del usuario.
  • Exposición generalizada: cualquier organización que utilice Direct Send corre un riesgo potencial.

Protéjase

Es posible proteger el envío directo sin rechazar todos los correos de envío directo. Es posible que los clientes de Barracuda Email Gateway Defense hayan protegido Direct Send al configurar los conectores de Microsoft 365. Los pasos para configurar la seguridad de Direct Send están en este artículo del Campus de Barracuda. Se trata de un tutorial paso a paso que solo tarda unos minutos en completarse. También puede ponerse en contacto con el servicio de asistencia de Barracuda para obtener ayuda.

Si no está absolutamente seguro de que Direct Send ha sido asegurado, siga los pasos en el documento de Barracuda Campus o contacte con el soporte de Barracuda.

Recursos adicionales:

Christine Barry

Christine Barry, narradora principal de historias sobre ciberseguridad y gestora de contenidos en Barracuda. Antes de unirse a Barracuda, Christine fue ingeniera de campo y gestora de proyectos para clientes de K12 y PYMES durante más de 15 años. Posee varias credenciales en tecnología y gestión de proyectos, una licenciatura en Artes y un Máster en Administración de Empresas. Es graduada de la Universidad de Míchigan.

Conéctate con Christine en LinkedIn aquí.

 

¡Únete a nuestra comunidad de Reddit!

Publicaciones relacionadas:
Los cibercriminales son cada vez más jóvenes y más peligrosos.
Los cibercriminales son cada vez más jóvenes y más peligrosos.
Lazarus Group: Un sindicato criminal con una bandera
Lazarus Group: Un sindicato criminal con una bandera
 Radar de amenazas de correo electrónico - septiembre de 2025
Radar de amenazas de correo electrónico - septiembre de 2025
 Principales actores de amenazas de agosto: ransomware, espionaje y ladrones de información
Principales actores de amenazas de agosto: ransomware, espionaje y ladrones de información
Busque en el blog

Informe de Barracuda sobre Ransomware 2025

Principales conclusiones sobre la experiencia y el impacto del ransomware en las organizaciones de todo el mundo

Obtener el informe

Suscríbase al blog de Barracuda.

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Seguridad de vulnerabilidades gestionada: corrección más rápida, menos riesgos, cumplimiento normativo más fácil 

Descubra lo fácil que es encontrar las vulnerabilidades que los ciberdelincuentes quieren explotar.

VER EL SEMINARIO WEB

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Reciba en su bandeja de entrada todas las últimas noticias, estudios y análisis.