An ninh mạngDữ liệu & Phân tíchKhông gian làm việc kỹ thuật sốCơ sở hạ tầng đám mâyPhát triển ứng dụngTrí tuệ nhân tạo
Tổng quan về dịch vụ
Hội thảoĐánh giáKẻ chủ mưuGiám đốc giải pháp kỹ thuậtChương trình tư vấn an ninh mạngTriển khaiQuản lý dự ánNhân sự
Blog Hội thảo trên web Thông tin chi tiết Tin tức Bảo mật Sự kiện
Tại sao lại là giả kim thuậtĐối tácĐộiGiải thưởngNghề nghiệpLiên hệ với chúng tôi
Blog | Bảo mật 27 tháng 8 năm 2025

Khai thác trực tiếp đá gà casino Microsoft 365: Cách kẻ tấn công bỏ qua email

Khai thác trực tiếp đá gà casino Microsoft 365: Cách kẻ tấn công bỏ qua email

Vào tháng 8 năm 2025, các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch lừa đảo tinh vi khai thác tính năng trực tiếp đá gà casino của Microsoft 365. Chiến dịch này vượt qua các biện pháp bảo vệ bảo mật email truyền thống—chẳng hạn như SPF, DKIM và DMARC—bằng cách tận dụng cơ sở hạ tầng của chính Microsoft để gửi các email độc hại có vẻ như bắt nguồn từ các nguồn nội bộ đáng tin cậy.      Những kẻ tấn công sử dụng trực tiếp đá gà casino để định tuyến email thông qua cơ sở hạ tầng máy chủ thông minh của nạn nhân (thường là bản ghi MX của đối tượng thuê), giả dạng một cách hiệu quả là lưu lượng truy cập nội bộ. Điều này cho phép chúng trốn tránh các biện pháp phòng thủ vành đai và gửi tải trọng mà các bộ lọc email thông thường thường chặn.    

trực tiếp đá gà casino là gì?

trực tiếp đá gà casino là một tính năng hợp pháp trong Microsoft 365 Exchange Online cho phép các thiết bị, chẳng hạn như máy in, máy quét và ứng dụng ngành nghề, gửi email mà không cần xác thực nếu người nhận thuộc cùng một tổ chức. Nó được thiết kế để liên lạc nội bộ và thường được sử dụng trong môi trường mà các thiết bị cũ không thể hỗ trợ các giao thức xác thực hiện đại.

Không giống như Chuyển tiếp SMTP hoặc SMTP AUTH, trực tiếp đá gà casino:

  • Không yêu cầu thông tin xác thực
  • Chỉ hỗ trợ gửi tới người nhận nội bộ
  • Sử dụng bản ghi MX của đối tượng thuê (ví dụ: yourdomain.mail.protection.outlook.com) làm điểm cuối SMTP

Mặc dù thuận tiện nhưng việc thiếu xác thực này khiến nó trở thành mục tiêu hàng đầu để lạm dụng.    

Nó bị lạm dụng như thế nào? 

Những kẻ đe dọa đã vũ khí hóa tính năng trực tiếp đá gà casino theo nhiều cách:

  • Lừa đảo người dùng nội bộ: Bằng cách gửi email qua máy chủ thông minh của đối tượng thuê, kẻ tấn công làm cho các tin nhắn xuất hiện như thể chúng đến từ người dùng nội bộ, bỏ qua các bước kiểm tra SPF, DKIM và DMARC
  • Mồi nhử dựa trên hình ảnh: Thay vì văn bản, kẻ tấn công sử dụng hình ảnh nội tuyến có độ trung thực cao bắt chước thư thoại hoặc thông báo dịch vụ để trốn tránh các bộ lọc dựa trên văn bản. 
  • Phân phối tải trọng kép: 
    • Tệp đính kèm HTML: Ngụy trang dưới dạng trình phát âm thanh, những trình phát này sử dụng JavaScript bị xáo trộn được kích hoạt bởi thẻ hình ảnh không hợp lệ để thực thi mã độc. 
    • Tệp SVG: Được coi là an toàn bởi nhiều bộ lọc, những bộ lọc này chứa JavaScript được nhúng với mã hóa tùy chỉnh để tránh bị phát hiện. 
  • Cá nhân hóa động: Các tập lệnh độc hại tìm nạp logo và nhãn hiệu của công ty trong thời gian thực, tạo ra các trang thu thập thông tin xác thực trông có vẻ hợp pháp một cách thuyết phục. 

Sự kết hợp giữa khai thác kỹ thuật và kỹ nghệ xã hội này khiến cuộc tấn công có hiệu quả cao—ngay cả đối với người dùng có kinh nghiệm.     

Làm cách nào để khắc phục? 

Microsoft đã thừa nhận sự cố và giới thiệu tính năng kiểm soát "Từ chối trực tiếp đá gà casino" (hiện ở dạng xem trước công khai), cho phép quản trị viên chặn lưu lượng trực tiếp đá gà casino không được xác thực. Tuy nhiên, chỉ điều này thôi là chưa đủ. Dưới đây là các bước bổ sung mà tổ chức nên thực hiện:

1. Tắt tính năng trực tiếp đá gà casino nếu có thể

Nếu các thiết bị cũ không yêu cầu tính năng này, hãy tắt hoàn toàn tính năng trực tiếp đá gà casino. Sử dụng Chuyển tiếp SMTP đã được xác thực hoặc các lựa chọn thay thế hiện đại.

Nếu các thiết bị cũ thực sự cần đến dịch vụ này, hãy cân nhắc sử dụng dịch vụ chuyên dụng như SendGrid để thực hiện chuyển tiếp SMTP. 

2. Thực thi xác thực người gửi

Triển khai và thực thi các chính sách SPF, DKIM và DMARC. Đảm bảo bản ghi SPF của bạn chỉ bao gồm các IP đáng tin cậy.

3. Củng cố cơ sở hạ tầng email

  • Sử dụngExchange Online Protection (EOP) và Microsoft Defender cho Office 365 hoặc giải pháp Lọc Email thay thế (Proofpoint, Mimecast, Abnormal)
  • Định cấu hình trình kết nối đối tác cho lưu lượng truy cập được xác thực từ giải pháp lọc email của bên thứ 3. 
  • Theo dõi những điểm bất thường trong hoạt động email và mẫu xác thực. Luôn xem lại nhật ký đăng nhập để phát hiện hoạt động bất thường hoặc đáng ngờ nhằm đảm bảo danh tính được xác thực đúng cách.

4. Giáo dục người dùng

Huấn luyện người dùng nhận biết các chiến thuật lừa đảo, đặc biệt là lừa đảo dựa trên hình ảnh và lừa đảo bằng mã QR (“quishing”).

5. Giám sát và phản hồi

Triển khai các công cụ phát hiện mối đe dọa có thể xác định hoạt động trực tiếp đá gà casino đáng ngờ. Một phương pháp để thực hiện điều này là tìm email và khám phá thư, đây là những tính năng của bộ sản phẩm Microsoft 365 E5.

Để tìm email được gửi qua trực tiếp đá gà casino, bạn có thể chạy theo dõi lịch sử thư trong Exchange Online để xem nhật ký gửi email trong 90 ngày qua. Để làm được điều đó,

  • Điều hướng đếnExchange admin center > Reports >Luồng thưvà chọnBáo cáo tin nhắn đếntừ danh sách. 
  • Tiếp theo, nhấp vàoYêu cầu báo cáovà sửa đổi Ngày bắt đầu và ngày kết thúc dựa trên yêu cầu của bạn. 
  • Nhấp vàoNgười nhậnthả xuống và chọn người nhận mong muốn nhận báo cáo tin nhắn đến. 
  • Vậy hãy đảm bảo rằngĐã nhậnKhông có đầu nốiđược chọn trong Chỉ đường và loại Trình kết nối một cách thích hợp. 
  • Cuối cùng, đặt phiên bản TLS thànhKhông có TLSvà đánhYêu cầuđể nhận báo cáo về tất cả email gửi đến đã nhận mà không có trình kết nối nhằm xác định email trực tiếp đá gà casino. 

Săn lùng nâng cao của Bộ bảo vệ Microsoft 365

Một phương pháp thay thế là tận dụng Săn nâng cao của Bộ bảo vệ Microsoft 365.  Bạn có thể thực hiện việc này bằng cách điều hướng đếnvà bắt đầu một truy vấn mới.  Đây là truy vấn KQL cho phép bạn xác định các thư có thể được gửi qua tính năng trực tiếp đá gà casino trong Microsoft 365 trong vòng 30 ngày qua.  Nếu kết quả là tin nhắn hợp pháp thì chúng có thể cần phải được định cấu hình lại để định tuyến đúng cách sau khi tắt tính năng này.

Sự kiện email
ở đâuDấu thời gian>trước(30d)
ở đâuHướng Email=="Vào"
ở đâuSenderMailFromDomain=="yourdomain.com"
ở đâuHành động giao hàng chứa"Đã giao"
ở đâuChi tiết xác thực== @"""SPF"://"fail"",""DKIM"://"hết thời gian"","DMARC"://"temperror"",""CompAuth"://"fail"""
dự ánDấu thời gian, SenderFromAddress, RecipientEmailAddress,Chủ đề, Chi tiết xác thực, DeliveryAction
đặt hàng theoDấu thời giandesc; 

Bài học rút ra và cân nhắc:

  • Nếu tổ chức của bạn không sử dụng tính năng trực tiếp đá gà casino, bạn có thể tắt tính năng này trong đối tượng thuê bằng cách kết nối với mô-đun Exchange Online Management PowerShell và chạy lệnh ghép ngắn này: Set-OrganizationConfig -RejectDirectSend $true
  • Nếu sử dụng tính năng trực tiếp đá gà casino ngay hôm nay, bạn sẽ cần đánh giá cơ sở hạ tầng email của mình để hiểu cách thức và thời điểm tắt tính năng trực tiếp đá gà casino. Hãy liên hệ với Người quản lý tài khoản hoặc Người quản lý giải pháp kỹ thuật của bạn để thảo luận về các lựa chọn của bạn. 
  • Nếu bạn tận dụng tính năng trực tiếp đá gà casino và không có dịch vụ lọc email của bên thứ 3 trước mặt đối tượng thuê của mình thì bạn có thể phải sử dụng giải pháp chuyển tiếp của bên thứ 3 để thay thế tính năng trực tiếp đá gà casino để có thể tắt tính năng này. Nếu bạn có dịch vụ lọc của bên thứ 3 và sử dụng trực tiếp đá gà casino, bạn có thể bật quy tắc truyền tải trong đó sẽ chỉ cho phép các thư bắt nguồn từ các địa chỉ IP cụ thể vào đối tượng thuê của bạn. Bạn có thể xếp chồng mục này với “–RejectDirectSend” để bảo mật tốt hơn nữa.

Suy nghĩ cuối cùng

trực tiếp đá gà casino được thiết kế để thuận tiện nhưng những kẻ tấn công đã biến nó thành một công cụ mạnh mẽ để vượt qua bảo mật email. Các tổ chức không thể chỉ dựa vào các biện pháp kiểm soát mới của Microsoft. Bằng cách vô hiệu hóa tính năng trực tiếp đá gà casino nếu có thể, thắt chặt xác thực, củng cố cơ sở hạ tầng và chủ động tìm kiếm hành vi lạm dụng, doanh nghiệp có thể giảm đáng kể mức độ phơi nhiễm của mình. Các nhóm bảo mật nên đánh giá môi trường của họ ngay bây giờ trước khi kỹ thuật này trở nên phổ biến hơn.

Tăng cường bảo mật Microsoft 365 của bạn

Chặn lạm dụng trực tiếp đá gà casino chỉ là một bước hướng tới việc bảo mật Microsoft 365. Nhóm công nghệ giả kim giúp các doanh nghiệp tăng cường môi trường nhận dạng, email và cộng tác trước các mối đe dọa tiên tiến nhất hiện nay. Các chuyên gia của chúng tôi thiết kế và triển khai các biện pháp phòng thủ theo lớp nhằm thu hẹp các lỗ hổng trước khi kẻ tấn công khai thác chúng.

Khám phá các dịch vụ Bảo mật Microsoft 365 của chúng tôi

Tác giả

Hình đại diện tác giả Kyle Mancuso
Chia sẻ

Bài viết khác

Thông tin chi tiết
27/04/2026

Khi Glean cần Snowflake: Tại sao AI doanh nghiệp vẫn phụ thuộc vào nền tảng Analytics

hình đại diện andy-quirin Andy Quirin
Công ty
23/04/2026

Nhóm công nghệ giả kim mua lại IOvations

hình đại diện pete-down Pete Downing
Thông tin chi tiết
11/04/2026

Dự án Glasswing và trường hợp cho chiến lược AI tác nhân đa dạng