12.11.2024 | «Здравствуйте, я ваш новый CEO»: как хакеры клонируют руководителей через Microsoft Bookings |
Microsoft Bookings , одна из популярных функций в Microsoft 365 , может представлять угрозу безопасности для компаний, так как позволяет пользователям создавать учётные записи в Entra без необходимости административных прав. По данным компании Cyberis, это открывает возможности для злоумышленников, которые могут создать фальшивую учётную запись, замаскированную под настоящего сотрудника, и использовать её для внутренних фишинговых атак или манипуляций с внешними партнёрами. Если злоумышленник получает доступ к аккаунту сотрудника в Microsoft 365, он может использовать возможность создания общих страниц бронирования для имитации влиятельных лиц внутри компании, например, гендиректора или финансового менеджера. Таким образом, атакующий может вводить сотрудников в заблуждение и организовать перевод денежных средств. Одна из особенностей Bookings — возможность создавать «особые» электронные адреса внутри домена, такие как «admin@» или «hostmaster@». Это позволяет злоумышленникам проводить продвинутые социальные атаки, например, для захвата контроля над инфраструктурой. Такая техника значительно усложняет обнаружение и может обойти системы защиты от подделки идентичности, встроенные в Microsoft. Кроме того, при создании страницы бронирования злоумышленник может создать аккаунт, совпадающий с электронной почтой бывшего сотрудника. Это даёт возможность перехвата входящих сообщений на этот адрес и даже сброса паролей к внешним сервисам. Стоит отметить, что подобные почтовые ящики не требуют лицензий Microsoft 365 и могут быть активны без затрат компании на их обслуживание. Такие скрытые аккаунты могут быть обнаружены лишь через PowerShell и остаются невидимыми в центре администрирования Exchange. Чтобы минимизировать риски, специалисты по безопасности рекомендуют отключить возможность создания общих страниц бронирования для обычных пользователей, а также провести аудит существующих скрытых почтовых ящиков. Важно регулярно проверять права доступа и мониторить активность по созданию новых учётных записей в Entra. Эти действия помогут сократить уязвимость компаний перед подобными атаками и усилят защиту конфиденциальной информации, особенно от фишинговых атак и мошенничества. |
Проверить безопасность сайта