Les règles de boîte aux lettres Microsoft 365 comme voie de persistance Des règles de boîte aux lettres Microsoft 365 utilisées comme vecteur de persistance après compromission, avec des conseils de détection et de remédiation.
Les règles de boîte aux lettres Microsoft 365 — en particulier celles créées après une compromission — sont devenues une voie de persistance insidieuse pour les cybercriminels. Une étude publiée par Proofpoint met en lumière comment ces mécanismes, souvent oubliés, permettent à un attaquant de conserver l'accès et de contourner les contrôles de sécurité après avoir pris le contrôle d'un compte.
Comment les attaques transforment ces règles en persistance
Dès le premier accès au compte, les opérateurs malveillants instaurent des règles qui redirigent les messages entrants vers des adresses externes, font courir des réponses automatiques ou placent des messages dans des dossiers peu visibles. Ces actions peuvent être lancées côté serveur via Exchange Online ou côté client, ce qui rend leur détection plus ardue, car les journaux traditionnels n'enregistrent pas toujours les règles actives côté client.
La technique se nourrit aussi de la diversité des règles disponibles : redirection externe, réponses automatiques, tri des messages, et même suppression sélective pour effacer des traces. Les attaquants privilégient les règles qui ne déclenchent pas d'alertes évidentes et qui échappent aux contrôles classiques de la passerelle mail.
Ce que cela change pour la sécurité et comment s'en prémunir
Pour les défenseurs, le signal est clair : les règles de boîte aux lettres doivent être auditées et surveillées comme n'importe quel autre vecteur de compromission. Les organisations peuvent agir sur plusieurs leviers.
- Audits et surveillance : activer l’audit des règles et surveiller les modifications dans Exchange Online et le journal d’audit unifié. Les règles nouvellement créées ou modifiées en dehors des habitudes habituelles méritent une attention particulière.
- Détection des règles suspectes : repérer les règles qui envoient des emails vers des domaines externes inconnus, qui contournent des boîtes partagées ou qui redirigent des messages sensibles.
- Limitations applicatives : restreindre les règles côté client quand cela est possible et mettre en place des politiques de blocage des transferts externes non autorisés.
- Réponses et remédiation : impliquer les administrateurs dans un processus d’audit périodique des boîtes et déployer des alertes sur les créations/modifications de règles.
Limites et ce qu’on ne sait pas encore
Malgré ces mesures, la détection reste complexe. Les règles légitimes peuvent évoluer rapidement avec les besoins opérationnels, et les attaquants cherchent des biais spécifiques (par exemple des règles actives sur des comptes peu surveillés ou des domaines moins scrutés). Les journaux et les outils de sécurité doivent être capables de reconstituer l’activité autour des règles, ce qui n’est pas toujours le cas dans les environnements multi-tenant ou hybrides.
Pour terminer
En résumé, les règles de boîte aux lettres Microsoft 365 constituent un vecteur silencieux de persistance qui mérite une attention renforcée. La vigilance passe par l’audit, la détection ciblée et une gouvernance plus stricte des transferts de courriels externes — car chaque règle créée après une compromission peut être une porte d’entrée cachée.
