«Здравствуйте, я ваш новый CEO»: как хакеры клонируют руководителей через Microsoft Bookings

Microsoft Bookings, одна из популярных функций в Microsoft 365, может представлять угрозу безопасности для компаний, так как позволяет пользователям создавать учётные записи в Entra без необходимости административных прав. По данным компании Cyberis, это открывает возможности для злоумышленников, которые могут создать фальшивую учётную запись, замаскированную под настоящего сотрудника, и использовать её для внутренних фишинговых атак или манипуляций с внешними партнёрами.

Если злоумышленник получает доступ к аккаунту сотрудника в Microsoft 365, он может использовать возможность создания общих страниц бронирования для имитации влиятельных лиц внутри компании, например, гендиректора или финансового менеджера. Таким образом, атакующий может вводить сотрудников в заблуждение и организовать перевод денежных средств.

Одна из особенностей Bookings — возможность создавать «особые» электронные адреса внутри домена, такие как «admin@» или «hostmaster@». Это позволяет злоумышленникам проводить продвинутые социальные атаки, например, для захвата контроля над инфраструктурой. Такая техника значительно усложняет обнаружение и может обойти системы защиты от подделки идентичности, встроенные в Microsoft.

Кроме того, при создании страницы бронирования злоумышленник может создать аккаунт, совпадающий с электронной почтой бывшего сотрудника. Это даёт возможность перехвата входящих сообщений на этот адрес и даже сброса паролей к внешним сервисам.

Стоит отметить, что подобные почтовые ящики не требуют лицензий Microsoft 365 и могут быть активны без затрат компании на их обслуживание. Такие скрытые аккаунты могут быть обнаружены лишь через PowerShell и остаются невидимыми в центре администрирования Exchange.

Чтобы минимизировать риски, специалисты по безопасности рекомендуют отключить возможность создания общих страниц бронирования для обычных пользователей, а также провести аудит существующих скрытых почтовых ящиков. Важно регулярно проверять права доступа и мониторить активность по созданию новых учётных записей в Entra.

Эти действия помогут сократить уязвимость компаний перед подобными атаками и усилят защиту конфиденциальной информации, особенно от фишинговых атак и мошенничества.