Ghost-Sender w Microsoft Exchange: spoofing dowolnego adresu e-mail zagraża organizacjom hybrydowym - Security Bez Tabu

Ghost-Sender w Microsoft Exchange: spoofing dowolnego adresu e-mail zagraża organizacjom hybrydowym

Cybersecurity news

Wprowadzenie do problemu / definicja

Ghost-Sender to nowo opisany problem bezpieczeństwa dotyczący wybranych konfiguracji Microsoft Exchange Online oraz środowisk Exchange działających w trybie hybrydowym. W praktyce luka ma charakter konfiguracyjno-architektoniczny i może umożliwiać atakującym podszywanie się pod niemal dowolny adres nadawcy podczas dostarczania wiadomości do organizacji ofiary.

Największe znaczenie ma fakt, że w podatnych scenariuszach standardowe mechanizmy ochrony poczty, takie jak SPF, DKIM i DMARC, mogą nie zapewnić oczekiwanego poziomu bezpieczeństwa. Problem nie wynika wyłącznie z samego produktu, lecz z określonego sposobu zestawienia przepływu poczty i relacji zaufania między komponentami infrastruktury.

W skrócie

  • Ghost-Sender został publicznie opisany 9 czerwca 2026 roku.
  • Dotyczy organizacji korzystających z Exchange Online lub Exchange on-premises w modelu hybrydowym.
  • Ryzyko pojawia się szczególnie wtedy, gdy rekord MX wskazuje na zewnętrzny serwer pocztowy lub filtr antyspamowy.
  • Atak może umożliwiać spoofing zarówno adresów zewnętrznych, jak i wewnętrznych.
  • Skutkiem może być wzrost skuteczności phishingu, oszustw finansowych oraz ataków Business Email Compromise.

Kontekst / historia

Technika Ghost-Sender została opisana przez badaczy z firmy InfoGuard. Z przedstawionych informacji wynika, że zgłoszenie do Microsoft Security Response Center miało nastąpić w kwietniu 2026 roku, jednak problem został potraktowany nie jako klasyczna podatność produktowa, lecz jako ograniczenie architektoniczne związane z określonym modelem wdrożenia.

To rozróżnienie jest istotne dla zespołów bezpieczeństwa i administratorów. W wielu organizacjach ochrona środowiska pocztowego jest utożsamiana przede wszystkim z instalowaniem poprawek, tymczasem w tym przypadku kluczowe znaczenie ma poprawna konfiguracja transportu wiadomości, connectorów oraz źródeł, którym platforma ufa.

Ghost-Sender wpisuje się w szerszy trend zagrożeń powstających na styku usług chmurowych, zewnętrznych bram bezpieczeństwa i lokalnych komponentów pocztowych. W takich scenariuszach luka może wynikać nie z błędu w kodzie, ale z niewłaściwego modelu zaufania w złożonej architekturze pocztowej.

Analiza techniczna

Według opisu problem dotyczy środowisk, w których Exchange Online akceptuje pocztę przychodzącą w modelu wykorzystującym zewnętrzny rekord MX, ale bez odpowiednich mechanizmów dodatkowej walidacji źródła wiadomości. Jeśli ruch pocztowy trafia najpierw do zewnętrznej bramy lub filtra, a następnie jest przekazywany do Exchange, system może błędnie ufać tak dostarczonej wiadomości.

W efekcie atakujący może przygotować wiadomość z dowolnie ustawionym adresem nadawcy i dostarczyć ją do organizacji w sposób, który sprawi, że zostanie zaakceptowana jako wiarygodna. Szczególnie groźny jest spoofing adresów wewnętrznych, ponieważ zwiększa on szansę, że użytkownik końcowy uzna wiadomość za autentyczną korespondencję od współpracownika, przełożonego lub konta systemowego.

Badacze wskazują również, że samo wdrożenie standardowych mechanizmów ochronnych może nie wystarczyć. Problem może nie być skutecznie neutralizowany wyłącznie przez domyślne profile ochrony ani przez samo stosowanie Enhanced Filtering. Oznacza to, że część organizacji może pozostawać podatna mimo korzystania z powszechnie zalecanych zabezpieczeń pocztowych.

Jako najważniejsze środki zaradcze wskazywane są dwa podejścia techniczne. Pierwsze polega na skonfigurowaniu partner organization connector, który ogranicza zaufanie do wiadomości na podstawie dozwolonych adresów IP lub walidacji certyfikatów. Drugie zakłada utworzenie reguł mail flow, które będą kierować do kwarantanny wiadomości niespełniające oczekiwanych warunków autoryzacji, pochodzenia lub spójności nagłówków.

Dodatkowo rekomendowane jest wyłączenie funkcji Direct Send tam, gdzie nie jest ona niezbędna biznesowo. Taki krok może ograniczyć możliwość podszywania się pod nadawców wewnętrznych i zmniejszyć powierzchnię ataku.

Konsekwencje / ryzyko

Najpoważniejszą konsekwencją Ghost-Sender jest znaczące zwiększenie skuteczności kampanii phishingowych i ataków BEC. Jeśli napastnik może wysłać wiadomość wyglądającą jak autentyczna korespondencja od prezesa, działu finansowego, partnera biznesowego albo konta Microsoft, prawdopodobieństwo sukcesu oszustwa istotnie rośnie.

Ryzyko wykracza poza pojedyncze skrzynki pocztowe. W środowiskach korporacyjnych spoofing adresów wewnętrznych może zostać wykorzystany do omijania procedur akceptacyjnych, eskalacji zaufania w komunikacji oraz wywoływania incydentów w obszarach finansów, HR, zakupów i administracji IT.

Szczególnie niebezpieczne są sytuacje, w których wiadomość nie trafia do spamu, nie otrzymuje ostrzeżenia i wygląda dla użytkownika jak zwykły e-mail wewnętrzny. W takich warunkach łatwiej o wyłudzenie płatności, ujawnienie danych, przekazanie poufnych dokumentów lub uruchomienie złośliwego załącznika.

Dodatkowym problemem pozostaje detekcja. Ustalenie, czy organizacja była celem nadużycia, może wymagać szczegółowej analizy nagłówków wiadomości i całego łańcucha ich przekazywania przez systemy pośredniczące. Bez rozszerzonego monitoringu telemetrycznego część incydentów może pozostać niezauważona.

Rekomendacje

Organizacje korzystające z Exchange Online lub środowisk hybrydowych powinny pilnie przeprowadzić przegląd architektury pocztowej. W pierwszej kolejności należy ustalić, czy rekord MX wskazuje na zewnętrzny gateway, usługę ochrony poczty lub filtr antyspamowy, a następnie sprawdzić, czy Exchange ufa wyłącznie autoryzowanym źródłom przekazującym wiadomości.

  • Ograniczyć zaufanie do wiadomości przekazywanych do Exchange wyłącznie z zatwierdzonych adresów IP.
  • Wdrożyć walidację opartą na certyfikatach dla partner connectors, jeśli pozwala na to model środowiska.
  • Skonfigurować reguły mail flow kierujące do kwarantanny wiadomości o niespójnych nagłówkach lub nieoczekiwanym statusie autoryzacji.
  • Wyłączyć Direct Send wszędzie tam, gdzie funkcja nie jest niezbędna.
  • Regularnie analizować nagłówki wiadomości przychodzących i prowadzić testy kontrolne dla scenariuszy spoofingu.

Po stronie operacyjnej warto rozszerzyć monitoring o wykrywanie anomalii w komunikacji wewnętrznej, zwłaszcza gdy wiadomości rzekomo pochodzą od kadry zarządzającej, działu finansowego lub kont systemowych. Zespoły SOC i IR powinny również uwzględnić scenariusze, w których SPF, DKIM i DMARC nie są wystarczającym potwierdzeniem autentyczności wiadomości w danym modelu routingu.

Nie mniej ważne są działania organizacyjne. Należy wzmacniać szkolenia z zakresu BEC, stosować zasadę weryfikacji poza kanałem e-mail dla dyspozycji finansowych oraz utrzymywać ścisłe procedury zatwierdzania zmian w płatnościach i danych kontrahentów.

Podsumowanie

Ghost-Sender pokazuje, że bezpieczeństwo poczty elektronicznej zależy nie tylko od wdrożenia standardów uwierzytelniania domen, ale także od szczegółów architektury przepływu wiadomości. W podatnych konfiguracjach Microsoft Exchange atakujący mogą podszyć się pod dowolny adres e-mail i dostarczyć wiadomość bez wyraźnych ostrzeżeń dla odbiorcy.

Dla organizacji oznacza to bezpośredni wzrost ryzyka phishingu, fraudów i nadużyć typu BEC. Najważniejszym działaniem pozostaje szybka weryfikacja konfiguracji MX, connectorów, relacji zaufania z zewnętrznymi bramami oraz reguł transportowych w Exchange, ponieważ w tym przypadku właściwa konfiguracja obronna może mieć większe znaczenie niż oczekiwanie na klasyczną poprawkę producenta.

Źródła

  1. Dark Reading — Microsoft Exchange Flaw Lets Attackers Spoof Any Email Address — https://www.darkreading.com/vulnerabilities-threats/exchange-flaw-attackers-spoof-email-address
  2. InfoGuard Labs — Ghost-Sender — https://labs.infoguard.ch/posts/ghost_sender/
  3. Microsoft Learn — Configure mail flow using connectors in Exchange Online — https://learn.microsoft.com/en-us/exchange/mail-flow-best-practices/use-connectors-to-configure-mail-flow/set-up-connectors-to-route-mail
  4. Microsoft Learn — Enhanced Filtering for Connectors in Exchange Online — https://learn.microsoft.com/en-us/defender-office-365/enhanced-filtering-for-connectors
  5. Microsoft Learn — Direct Send in Exchange Online — https://learn.microsoft.com/en-us/exchange/mail-flow-best-practices/how-to-set-up-a-multifunction-device-or-application-to-send-email-using-microsoft-365-or-office-365