Käynnissä oleva hyökkäyskampanja hyödyntää Microsoft 365:n Direct Send -ominaisuutta kalasteluviestien lähettämiseen | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Käynnissä oleva hyökkäyskampanja hyödyntää Microsoft 365:n Direct Send -ominaisuutta kalasteluviestien lähettämiseen

8. heinäkuuta 2025 klo 12.43, päivitetty 11. maaliskuuta 2026 klo 15.14

Microsoft 365 Direct Send -ominaisuus on haavoittuvuus, minkä avulla monitoimilaitteet, tulostimet tai sovellukset voivat lähettää sähköpostia tunnistautumattomana suoraan Microsoft 365 -ympäristöön. Tietoturvatutkijat ovat havainneet, että uhkatoimijat käyttävät tätä ominaisuutta väärentääkseen sisäisten käyttäjien sähköpostiosoitetta ja lähettääkseen kalastelusähköpostiviestejä vaarantamatta heidän tilejään. Kun uhkatoimijalla on tiedossa verkkotunnus ja vastaanottajan sähköpostiosoite, tämä voi lähettää väärennettyjä sähköposteja, jotka näyttävät olevan peräisin organisaation sisältä. Tällaisten viestien lähettäminen ei edellytä tunnistautumista M365 -palveluun. Yksinkertaisuus tekee Direct Sendistä houkuttelevan ja vaivattoman tavan tietojenkalastelukampanjoille. Huomioithan että, Direct Send -ominaisuus on erikseen otettava pois käytöstä.

Haavoittuvuuden kohde

Direct Send on Microsoft Exchange Onlinen ominaisuus, joka on tarkoitettu organisaation sisäisten laitteiden (esim. tulostimien) ja sovellusten sähköpostin lähettämiseen ilman tunnistautumista palveluun. Se käyttää niin sanottua smart host -osoitetta, joka on helposti pääteltävissä (esimerkiksi muodossa 'organisaatio.mail.protection.outlook.com'). Tämä mahdollistaa sen, että lähettäjän ei tarvitse kirjautua mihinkään – tarvitaan vain tieto vastaanottajan sähköpostiosoitteesta ja organisaation smart host -osoitteesta.


Käynnissä oleva hyökkäyskampanja kohdistui toukokuun 2025 aikana yli 70:een pääosin Yhdysvalloissa toimivaan organisaatioon. Kampanja jatkuu edelleen.

Mistä on kysymys?

Direct Send -ominaisuutta hyväksikäyttävät hyökkääjät lähettivät sähköposteja PowerShell-skriptillä. Sähköpostiviesti oli väärennetty näyttämään siltä, että ne tulivat organisaation sisältä luotettavalta käyttäjältä. Koska viestit kulkivat Microsoftin infrastruktuurin kautta, monet turvamekanismit – kuten lähettäjän aitouden tarkistukset – ohitettiin. Ulkoisen lähettäjän viestin onnistui siis näyttäytyä siltä, että se tulee organisaation sisältä. Tällöin viesti saatetaan tulkita luotettavaksi M365-palvelun lisäksi myös kolmannen osapuolien palveluiden, kuten suojausratkaisun toimesta.

Miksi tämä menetelmä toimii:

  • Direct Send -ominaisuuden käyttö ei vaadi tunnistautumista tai tunnuksia.
  • Smart Host (esim. juksutus-fi.mail.protection.outlook.com ) hyväksyy sähköpostit mistä tahansa ulkoisesta lähteestä. 
  • Viestin vastaanottajan tulee olla Microsoft 365 -tilauksen käyttäjä. 
  • Lähettäjän osoite voidaan väärentää mille tahansa sisäiselle käyttäjälle.

Mitä voin tehdä?

Suosittelemme organisaatioille Reject Direct Send -toiminnallisuuden käyttöönottoa. Oletuksena tämä ei ole käytössä

  • Ota käyttöön “Reject Direct Send” Online Exchange -palvelussa. Aktivoi se käyttöön PowerShellillä: Set-OrganizationConfig -RejectDirectSend $true.
  • Käytä tiukkaa DMARC-politiikkaa (esim. p = reject).
  • Merkitse todentamattomat sisäiset sähköpostit tarkastettavaksi tai karanteeniin. 
  • Konfiguroi SPF-tarkistukset rajoittavammalle tasolle: viesti hylkäykseen (hardfail) jos sen tarkistus on hylätty.
  • Rajoita SPF:llä lähetysoikeudet tunnettuihin IP-osoitteisiin.
  • Määritä anti-spoofing-säännöt.
  • Ota käyttäjille monivaiheinen tunnistautuminen (MFA) käyttöön.
11. maaliskuuta 2026 klo 15.14 Tekninen korjaus.