Onmicrosoft עוקף את הגנות המייל שלכם

Onmicrosoft עוקף את הגנות המייל שלכם

21/12/2020  מאת משה דדוש, מנהל תחום תשתיות אבטחת מידע 

 

Onmicrosoft עוקף את הגנות המייל שלכם

ערוץ ה- Email הינו אחד מערוצי התקיפה הנפוצים בשנת 2020, וכזה שישאר איתנו, ככל הנראה, גם בשנים הבאות. באמצעות שימוש ב-Email, תוקפים מנסים שוב ושוב להערים על משתמשים בדרכים שונות, בכדי שיורידו קבצים זדוניים או יקליקו על לינקים, והכל במטרה להשיג מידע רגיש.

על מנת לצמצם את האיום הקיים ולצורך הגנה על ערוץ זה, ארגונים רבים מיישמים מערכות Mail Relay.

מערכות אלה מתאפיינות במנועי Anti-Malware, Anti-Phishing, Anti-Spam וכן יכולות נוספות אשר מצמצמות באופן משמעותי את האיומים המגיעים למשתמשי הקצה.

ברגע שארגון מיישם את פתרון ה- Mail Relay ומקשיח אותו, התפיסה השגורה לרוב היא כי כל ערוצי המיילים הינם בטוחים ומספקים הגנה למשתמשים שלהם. אולם, אם הארגון עושה שימוש גם ב Office 365, כדאי לחשוב שוב.

 

Onmicorosft.com – הדומיין הנסתר

כאשר ארגון מבצע רישום ל Office 365, מיקרוסופט מייצרת דומיין חדש עם ה- onmicrosoft.com עבור הארגון. לדוגמה, באמצעות דומיין של @trustnet3.onmicrosoft.com, האדמינים של Office 365 בארגון זה יוכלו לייצר חשבונות משתמשים עם הדומיין @trustnet3.onmicrosoft.com ולנהל את כל המידע תחתיו.

כדוגמא, ניקח את ה- MX RECORD של "Trustnet.co.il":

כעת, נראה את ה- MX RECORD של "trustnet3.onmicrosoft.co.il":

ניתן לראות, אם כן, שישנם שני דומיינים של "onmicrosoft":

Onmicrosoft.com

Mail.onmicrosoft.com

 

מהן המשמעויות?

אם שולחים מייל למשתמש User1 בדומיין זה, לכתובת הבאה: user1@trustnet3.onmicrosoft.com המייל יעקוף את מערכת ה- Mail Relay ויגיע ישירות לתיבת הדואר של המשתמש בארגון. בדרך זו, ניתן לעקוף די בקלות את מערכות ההגנה של הארגון, מה שעשוי לחשוף את הארגון לאיומי סייבר העושים שימוש בוקטורי תקיפה רבים.

 

כיצד ניתן למזער את הסיכונים?

בואו נניח כי ה- incoming email flow של Trustnet.co.il הוא:

על מנת למנוע מתוקפים לשלוח מייל ישירות לדומיין Onmicrosoft.com, חשוב להגדיר ב- Office 365 חוק שיאפשר למיילים להיכנס לתיבות הדואר בארגון רק במידה והמייל מגיע מכתובות ה IP של ה- Mail Relay של הארגון. כך, במידה ומייל יגיע מכתובות אחרות הוא ייכנס ל- Quarantine.

 

לעדכונים שוטפים בתחום אבטחת מידע וסייבר בקרו בבלוג שלנו ועקבו אחרינו בדף הפייסבוק