Ghost-Sender colpisce Exchange Online: nuovo rischio email spoofing

Posta elettronica

Un’azienda utilizza Microsoft 365 per la posta elettronica ma, per motivi di sicurezza, decide di far transitare tutte le email attraverso un servizio esterno come Proofpoint, Mimecast, Mailgun oppure un gateway antispam proprietario. In teoria ogni messaggio dovrebbe passare da quel filtro prima di raggiungere le caselle degli utenti.

La ricerca Ghost-Sender, elaborata da InfoGuard, dimostra che in moltissimi casi questa convinzione è sbagliata. Exchange Online continua infatti a essere raggiungibile direttamente da Internet e, se la configurazione non applica alcune protezioni specifiche, un attaccante può bypassare completamente il gateway aziendale e consegnare email direttamente alle mailbox Microsoft 365.

Il risultato è sorprendente: è possibile inviare messaggi che sembrano provenire da qualsiasi indirizzo email, compresi mittenti interni all’azienda, senza compromettere account reali e senza rispettare le policy SPF, DKIM o DMARC del dominio impersonato (sender/email spoofing). Secondo i ricercatori di InfoGuard, la tecnica Ghost-Sender interesserebbe una quota significativa delle organizzazioni che utilizzano Exchange Online insieme a servizi di filtraggio esterni.