Güvenlik araştırmacıları, Microsoft 365 ile entegre olan zamanlama aracı olan Microsoft rezervasyonlarında önemli bir güvenlik açığı ortaya çıkardılar.
Hizmetin randevu oluşturma ve güncelleme API’larının teknik analizi yoluyla keşfedilen kusur, toplantı ayrıntılarının yetkisiz bir şekilde değiştirilmesine, kimlik avı, takvim manipülasyonu ve bilgi sızıntısı gibi riskler oluşturmasına izin verir.
Teknik Ayrıntılar ve Güvenlik Açığı Genel Bakış
Güvenlik açığı, Microsoft rezervasyonları tarafından kullanılan bazı önemli alanlarda yetersiz giriş validasyonu ve dezenfektanından kaynaklanmaktadır.
.png
)
Meşru bir müşteri veya kötü niyetli bir aktör olan bir kullanıcı bir toplantı oluşturduğunda veya değiştirdiğinde, API’daki aşağıdaki alanlar yeterince filtrelenmez:
- randevu.serviceNotes
- Randevu.Aditionalnotes
- randevu.body.content
Bu alanlar, daha sonra onay e -postalarına, ekip davetiyelerine ve ekli ICS (takvim) dosyalarına gömülü olan keyfi HTML’yi kabul eder.
Örnek: Rezervasyon API’sından yararlanma
1. Randevu oluşturma (isteği sonrası)
Post /bookingsservice/api/v1/bookingbusinessesc2/[email protected]/appointments?app=bookingsc2&n=11 http/1.1 host: outlook.office365.com content-type: uygulama/json {"randevu": {"servicenotes": "Enjekte edilen not!"," Body ": {" ContentType ":" HTML "," Content ":" Buraya toplantıya katılın "}, ...}} Bu istek, enjekte edilen HTML'nin toplantı ile ilgili tüm e-postalarda ve davetlerde görünmesine neden olur.2. Yeniden planlama yoluyla randevu değişikliği (isteği koyun)
Put /bookingsservice/api/v1/bookingbusinessesc2/[email protected]/appointments/[AppointmentID]? App = Bookingsc2 & n = 16 http/1.1 ana bilgisayar: outlook.office365.com content-type: uygulama/json {"randevu": {"ServiceNotes": "Tıklayın!", "JoinWeburl": "https: //legit.com \"> kötü niyetli bağlantı