La falla de Microsoft Booking permite a los piratas informáticos crear cuentas de usuario falsas

Se ha descubierto una falla de seguridad crítica en Microsoft Bookings. Esta falla es inherente a la configuración predeterminada de Microsoft Bookings y podría permitir a un atacante crear cuentas de Entra (anteriormente Azure AD) no autorizadas y obtener certificados fraudulentos. Esta vulnerabilidad plantea un riesgo importante para las organizaciones que utilizan los servicios de Microsoft 365.

Según los hallazgos de Cyberis, el problema se debe a la función “Páginas de reservas compartidas” en Microsoft Bookings, que está habilitada de forma predeterminada para los usuarios con la licencia adecuada de Microsoft 365. Cuando un usuario crea una página de reserva compartida, se genera automáticamente una cuenta completamente funcional en Entra sin necesidad de privilegios de administrador.

Guía del comprador de detección y respuesta gestionadas: descarga gratuita (PDF)

Esta falla podría ser aprovechada por un atacante que comprometiera las cuentas de usuario de Microsoft 365. Al crear una página de reserva compartida, puedes:

Es posible crear cuentas de Entra no autorizadas que imiten a usuarios legítimos y eludan los filtros de suplantación. Una vez que tenga una dirección de correo electrónico que coincida con la de un ex empleado, puede restablecer las contraseñas de servicios externos y verificar la propiedad del dominio para los certificados SSL. Establezca un buzón oculto completamente funcional que no consuma licencias de Microsoft 365. Suplantación de correo electrónico

El informe afirma que esta vulnerabilidad tiene un impacto generalizado. Los atacantes pueden hacerse pasar por personas conocidas dentro de una organización para realizar sofisticados ataques de phishing y obtener el control de la infraestructura crítica.

Además, la cuenta que cree puede enviar y recibir correos electrónicos independientemente de la configuración para compartir. Esto podría permitir a un atacante interceptar comunicaciones confidenciales y restablecer los servicios en línea registrados con la dirección de correo electrónico comprometida.

Para reducir estos riesgos, los expertos en seguridad recomiendan varios pasos.

Audite una página de reserva compartida existente mediante ExchangeOnline PowerShell. Deshabilite la capacidad de los usuarios finales para crear páginas de reservas compartidas a menos que sea absolutamente necesario. Supervise las cuentas de Entra en busca de actividad de creación inusual. Verifique periódicamente y revoque los permisos de los buzones que no necesita.

Recomendamos que las organizaciones desactiven la función de reserva si no la están utilizando. Los administradores pueden hacer esto usando PowerShell para establecer el parámetro BookingsEnabled en falso.

Esta vulnerabilidad resalta la importancia de administrar cuidadosamente los permisos de los usuarios en entornos de Microsoft 365 y auditar periódicamente los procesos de creación de cuentas. También destaca la necesidad de que las organizaciones permanezcan atentas a los posibles riesgos de seguridad en las herramientas de productividad más utilizadas.

A medida que el panorama de la ciberseguridad continúa evolucionando, es importante que las organizaciones evalúen periódicamente sus configuraciones de seguridad e implementen sistemas de monitoreo sólidos para detectar y responder rápidamente a amenazas potenciales.

Realice análisis privados de malware en tiempo real en máquinas virtuales Windows y Linux. ¡Obtén una prueba gratuita de 14 días en ANY.RUN!