Ghost-Sender: spoofing de e-mail universal contra o Exchange Online

👻 Ghost-Sender: spoofing de e-mail universal contra o Exchange Online

Pesquisadores do InfoGuard Labs descreveram uma má configuração do Exchange Online que permite aos atacantes enviar e-mails em nome de qualquer domínio — interno ou externo — contornando as verificações SPF, DKIM e DMARC.

Se uma empresa usar o Exchange Online ou uma configuração híbrida do Exchange com um registro MX externo — como um gateway de e-mail de terceiros ou serviço antispam — as mensagens podem alcançar o servidor do destinatário contornando a cadeia de filtragem esperada e ir diretamente para as caixas de entrada dos usuários.

Os autores acreditam que o problema é generalizado: mais de 20% dos domínios Exchange Online testados em programas de bug bounty estavam vulneráveis, e quase metade das organizações com registros MX externos não havia implementado as proteções necessárias.

A Microsoft referiu-se ao problema como uma "limitação arquitetural conhecida", enquanto o Configuration Analyzer da Microsoft não consegue detectar o problema.

Os pesquisadores detalharam métodos de remediação e forneceram uma ferramenta para verificar se as correções de vulnerabilidade foram aplicadas corretamente.

📎 Artigo: https://labs.infoguard.ch/posts/ghost-sender/