Une vulnérabilité majeure dans le service Microsoft Booking (service M365 de réservation de réunions) permet d'usurper l’email de collaborateurs depuis un simple compte en créant une boite mail avec un nom similaire.
La création d’un calendrier partagé implique la création d’une boite mail du même nom. Un « Insider » peut donc créer un calendrier nommé johndoe, qui créera une boite mail johndoe@contoso.fr permettant d’usurper john.doe@contoso.fr
Tout attaquant peut alors envoyer et recevoir des emails pour notamment:
- Réaliser des attaques au président en interne et en externe
- Tromper les relations personnelles de la victime (abus de confiance…)
- Prendre le contrôle de comptes de collaborateurs de l’organisation
Saurez vous faire la différence entre l'email authentique et celui envoyé en utilisant Microsoft Booking ?
En utilisant l’identité d’un collaborateur d’une équipe ou d’un projet dont il souhaite abuser.
2. Connexion à une boite email
L’attaquant se connecte à la boite mail créée avec le calendrier partagé depuis Outlook web.
3. Abuse de la boite email
Une fois connecté l’attaquant peut envoyer du phishing et réaliser des attaques au président par exemple.
Le service MS Booking est activé par défaut : n’importe quel collaborateur malveillant ou attaquant peut abuser de cette fonctionnalité.
En vous connectant avec votre compte utilisateur de l’entreprise :
1. Accédez à cette page afin de créer une réservation pour un appel
2. Vérifiez si vous pouvez cliquer sur le bouton "Créer une page de réservation"
Si vous avez la capacité de créer un calendrier partagé Booking :
→ Votre organisation est vulnérable, car tout collaborateur pourrait exploiter cette vulnérabilité.
Si vous recevez un message de blocage :
→ Votre organisation a désactivé cette fonction au niveau administrateur.
Dans certaines organisations, le nom de domaine utilisée par le calendrier est celui par défaut (@XXX.onmicrosoft.com).
L’adresse email n’est donc pas celle de l’organisation mais les risques d’usurpation restent critiques puisqu’elle est souvent masquée.
Pour prévenir tout abus, depuis la console administrateur M365 :
1) Restreignez la création de calendriers partagés à des administrateurs
2) Imposez techniquement un préfix/suffixe au nom des calendrier partagés
Pour détecter un abus déjà réalisé, auditez vos les comptes email cachés créés avec les calendriers Booking en vous focalisant en priorité sur les VIP.