Новости «Здравствуйте, я ваш новый CEO»: как хакеры клонируют руководителей через Microsoft Bookings

NewsMaker

I'm just a script
Премиум
13,843
20
8 Ноя 2022
Безобидная функция планирования встреч открыла путь цифровым мошенникам.


cpotib70p1vxgi1moin6xdicpjt96ss5.jpg


Microsoft Bookings , одна из популярных функций в Microsoft 365 , может представлять угрозу безопасности для компаний, так как позволяет пользователям создавать учётные записи в Entra без необходимости административных прав. Для просмотра ссылки Войди или Зарегистрируйся компании Cyberis, это открывает возможности для злоумышленников, которые могут создать фальшивую учётную запись, замаскированную под настоящего сотрудника, и использовать её для внутренних фишинговых атак или манипуляций с внешними партнёрами.

Если злоумышленник получает доступ к аккаунту сотрудника в Microsoft 365, он может использовать возможность создания общих страниц бронирования для имитации влиятельных лиц внутри компании, например, гендиректора или финансового менеджера. Таким образом, атакующий может вводить сотрудников в заблуждение и организовать перевод денежных средств.

Одна из особенностей Bookings — возможность создавать «особые» электронные адреса внутри домена, такие как «admin@» или «hostmaster@». Это позволяет злоумышленникам проводить продвинутые социальные атаки, например, для захвата контроля над инфраструктурой. Такая техника значительно усложняет обнаружение и может обойти системы защиты от подделки идентичности, встроенные в Microsoft.

Кроме того, при создании страницы бронирования злоумышленник может создать аккаунт, совпадающий с электронной почтой бывшего сотрудника. Это даёт возможность перехвата входящих сообщений на этот адрес и даже сброса паролей к внешним сервисам.

Стоит отметить, что подобные почтовые ящики не требуют лицензий Microsoft 365 и могут быть активны без затрат компании на их обслуживание. Такие скрытые аккаунты могут быть обнаружены лишь через PowerShell и остаются невидимыми в центре администрирования Exchange.

Чтобы минимизировать риски, специалисты по безопасности рекомендуют отключить возможность создания общих страниц бронирования для обычных пользователей, а также провести аудит существующих скрытых почтовых ящиков. Важно регулярно проверять права доступа и мониторить активность по созданию новых учётных записей в Entra.

Эти действия помогут сократить уязвимость компаний перед подобными атаками и усилят защиту конфиденциальной информации, особенно от фишинговых атак и мошенничества.
 
Источник новости
www.securitylab.ru

Похожие темы