Microsoft 365: Kriminelle nutzen Exchange-Funktion für Phishing-Angriffe
Kriminelle nutzen eine ungeschützte Microsoft-365-Funktion für ausgeklügelte Business-E-Mail-Angriffe. Microsoft reagiert mit neuer Sicherheitseinstellung, während bereits über 70 Organisationen betroffen sind.
Cyberkriminelle missbrauchen eine eigentlich harmlose Funktion in Microsoft 365, um ihre Phishing-Attacken zu verstärken. “Direct Send” in Exchange Online wird zunehmend für ausgeklügelte Business-E-Mail-Angriffe verwendet – und das Problem ist größer als gedacht.
Die Funktion war ursprünglich für Drucker, Scanner und ältere Anwendungen konzipiert, damit diese ohne moderne Authentifizierung E-Mails versenden können. Doch genau diese Bequemlichkeit wird nun zur Achillesferse. Angreifer nutzen sie, um unauthentifizierte Nachrichten zu versenden, die Standard-Sicherheitskontrollen wie SPF, DKIM und DMARC umgehen.
Sicherheitsforscher von Cisco Talos, Varonis und Arctic Wolf schlagen Alarm: Die Angriffswelle rollt seit Mai 2025 und hat bereits über 70 Organisationen getroffen, hauptsächlich in den USA. Microsoft reagiert nun mit einer neuen Kontrollfunktion namens “RejectDirectSend”, die derzeit in der öffentlichen Vorschau läuft.
Wie Angreifer das System austricksen
Das Prinzip ist erschreckend simpel: Direct Send erlaubt jedem Gerät oder jeder Anwendung, E-Mails an den Exchange Online-Endpunkt einer Organisation zu senden – solange die Absenderadresse eine der akzeptierten Domains verwendet. Authentifizierung? Fehlanzeige.
Kriminelle nutzen einfache Skripte, um E-Mails zu erstellen, die von internen Nutzern zu stammen scheinen – oft von Führungskräften oder IT-Helpdesks. Ein beliebter Trick: QR-Codes in PDF-Anhängen einbetten, das sogenannte “Quishing”. Werden diese gescannt, landen Opfer auf gefälschten Websites, die ihre Microsoft-365-Anmeldedaten abfangen.
Anzeige: Passend zur aktuellen Quishing-Welle über QR-Codes – schützen Sie jetzt auch Ihr Smartphone konsequent. Viele Android-Nutzer übersehen genau die 5 Einstellungen, die WhatsApp, Online-Banking und Shopping zuverlässig absichern. Ein kostenloser Ratgeber führt Sie mit einfachen Schritt-für-Schritt-Anleitungen durch die wichtigsten Schutzmaßnahmen – ohne teure Zusatz-Apps. Jetzt das kostenlose Android‑Sicherheitspaket sichern
Der perfide Clou: Diese Nachrichten durchlaufen Microsofts eigene Infrastruktur und erscheinen als interner Traffic. Herkömmliche Sicherheitsfilter, die primär externe Bedrohungen analysieren, lassen sie meist ungehindert passieren. So landen die Schadmails direkt im Posteingang der Mitarbeiter.
Microsofts Gegenmaßnahmen
Der Konzern aus Redmond hat reagiert und den Parameter “RejectDirectSend” für Exchange Online eingeführt. Administratoren können diesen per PowerShell-Befehl aktivieren: Set-OrganizationConfig -RejectDirectSend $true.
Microsoft räumt ein, dass selbst korrekt konfigurierte SPF-Einträge gefälschte E-Mails oft nur in den Spam-Ordner verschieben – was Verwirrung stiften kann. Die neue Einstellung blockiert sie komplett.
Für Organisationen, die Direct Send weiterhin benötigen, empfiehlt der Konzern authentifizierte “Partner-Konnektoren” für vertrauenswürdige Dienste. Zusätzlich plant Microsoft, RejectDirectSend ab Mitte 2025 als Standard für alle neuen Mandanten zu aktivieren.
Industrie-weite Warnung
Security-Experten sind sich einig: Unternehmen müssen sofort handeln. Die Empfehlung ist klar – wer Direct Send nicht zwingend braucht, sollte es umgehend deaktivieren. Alle anderen müssen spezifische Konnektoren für legitime Absender einrichten und ihre E-Mail-Authentifizierung mit DMARC verstärken.
Dieser Vorfall zeigt beispielhaft das Dilemma der Cybersicherheit: Praktische Features für ältere Systeme werden zu gefährlichen Angriffsvektoren. Dass Kriminelle Microsofts vertrauenswürdige Infrastruktur kapern, unterstreicht ihre wachsende Raffinesse.
Die Botschaft ist eindeutig: Selbst scheinbar interne E-Mails erfordern heute robuste Verifizierung. Organisationen sollten ihre Abhängigkeit von Direct Send prüfen, die neuesten Microsoft-Richtlinien studieren und ihre Mitarbeiter über Quishing-Techniken aufklären. In der aktuellen Bedrohungslage sind offene, unauthentifizierte Kommunikationswege schlicht zu riskant.
