Microsoft Bookings Kusuru, Bilgisayar Korsanlarının Taklit Edilmiş Kullanıcı Hesapları Oluşturmasına İzin Veriyor

Microsoft Bookings’te kritik bir güvenlik açığı ortaya çıkarıldı. Microsoft Bookings’in varsayılan yapılandırmasında bulunan bu kusur, potansiyel olarak saldırganların yetkisiz Entra (eski adıyla Azure AD) hesapları oluşturmasına ve sahte sertifikalar almasına olanak tanıyor. Bu güvenlik açığı Microsoft 365 hizmetlerini kullanan kuruluşlar için önemli riskler oluşturmaktadır.

Cyberis’in bulgularına göre sorun, uygun Microsoft 365 lisanslarına sahip kullanıcılar için varsayılan olarak etkin olan Microsoft Bookings’teki “Paylaşılan Rezervasyon Sayfaları” özelliğinden kaynaklanıyor. Bir kullanıcı paylaşılan bir Rezervasyon sayfası oluşturduğunda, yönetici izinlerine gerek kalmadan Entra’da otomatik olarak tamamen işlevsel bir hesap oluşturur.

Yönetilen Tespit ve Yanıt Satın Alma Kılavuzu – Ücretsiz İndirin (PDF)

Bu kusur, Microsoft 365 kullanıcı hesabının güvenliğini ihlal eden saldırganlar tarafından kullanılabilir. Paylaşılan Rezervasyon sayfası oluşturarak şunları yapabilirler:

1. Kimliğe bürünme filtrelerini potansiyel olarak atlayarak meşru kullanıcıları taklit eden yetkisiz Entra hesapları oluşturun.
2. Eski çalışanlarınkilerle eşleşen e-posta adresleri alarak, onların harici hizmetler için şifreleri sıfırlamasına ve SSL sertifikaları için alan adı sahipliğini doğrulamasına olanak tanıyın.
3. Microsoft 365 lisanslarını kullanmayan gizli, tam işlevsel posta kutuları oluşturun.

Raporda, bu güvenlik açığının geniş kapsamlı bir etkiye sahip olduğu belirtiliyor. Saldırganlar bir kuruluş içindeki yüksek profilli kişilerin kimliğine bürünebilir, karmaşık kimlik avı saldırıları gerçekleştirebilir ve potansiyel olarak kritik altyapı üzerinde kontrol sahibi olabilir.

Üstelik oluşturulan hesaplar, paylaşım ayarlarından bağımsız olarak e-posta gönderip alabilir. Bu, saldırganların hassas iletişimlere müdahale etmesine ve güvenliği ihlal edilmiş e-posta adresleriyle kayıtlı çevrimiçi hizmetleri potansiyel olarak sıfırlamasına olanak tanır.

Bu riskleri azaltmak için güvenlik uzmanları birkaç adım önermektedir:

1. ExchangeOnline PowerShell’i kullanarak mevcut Paylaşılan Rezervasyon Sayfalarını denetleyin.
2. Kesinlikle gerekmedikçe, son kullanıcıların paylaşılan Rezervasyon sayfaları oluşturma yeteneğini devre dışı bırakın.
3. Entra hesaplarını olağandışı oluşturma etkinlikleri açısından izleyin.
4. Gereksiz posta kutusu izinlerini düzenli olarak inceleyin ve iptal edin.

Kuruluşlara, kullanımda değilse Rezervasyonlar özelliğini devre dışı bırakmaları tavsiye edilir. Yöneticiler bunu, BookingsEnabled parametresini false olarak ayarlamak için PowerShell’i kullanarak yapabilirler.

Bu güvenlik açığı, Microsoft 365 ortamlarında kullanıcı izinlerini dikkatli bir şekilde yönetmenin ve hesap oluşturma süreçlerini düzenli olarak denetlemenin önemini vurgulamaktadır. Aynı zamanda kuruluşların yaygın olarak kullanılan üretkenlik araçlarındaki potansiyel güvenlik riskleri konusunda dikkatli olmaları gerektiğinin altını çiziyor.

Siber güvenlik ortamı gelişmeye devam ettikçe, kuruluşların güvenlik yapılandırmalarını düzenli olarak değerlendirmeleri ve potansiyel tehditleri anında tespit edip yanıt vermek için güçlü izleme sistemleri uygulamaları hayati önem taşıyor.

Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!