Μια σημαντική ευπάθεια στο Microsoft Bookings επέτρεπε σε επιτιθέμενους να τροποποιούν λεπτομέρειες των συναντήσεων, εκμεταλλευόμενοι ανεπαρκή έλεγχο εισόδου.
Δείτε επίσης: Hackers εκμεταλλεύονται ευπάθεια στο WordPress plugin OttoKit
Το πρόβλημα, το οποίο έχει κατά κύριο λόγο διορθώσει η Microsoft, επέτρεπε σε κακόβουλους χρήστες να εισάγουν αυθαίρετο HTML σε προσκλήσεις συναντήσεων, να τροποποιούν καταχωρήσεις ημερολογίου και να διευκολύνουν πιθανές επιθέσεις ηλεκτρονικού phishing.
Η ευπάθεια προερχόταν από την ανεπαρκή απολύμανση των δεδομένων που υποβάλλονταν από τον χρήστη στο API του Microsoft Bookings. Κρίσιμα πεδία όπως τα appointment.serviceNotes, appointment.additionalNotes και appointment.body.content δεν ελέγχονταν κατάλληλα, επιτρέποντας επιθέσεις HTML injection.
Αυτό το ζήτημα ασφαλείας επηρέασε οργανισμούς που χρησιμοποιούν το Microsoft Bookings για τον προγραμματισμό ραντεβού εντός του περιβάλλοντος Microsoft 365.
Σύμφωνα με αναφορές της ERNW, η ευπάθεια ήταν ιδιαίτερα εκμεταλλεύσιμη μέσω της λειτουργίας “Επαναπρογραμματισμός” (Reschedule).
Δείτε ακόμα: Ευπάθεια στο Samsung MagicINFO αξιοποιήθηκε σε επιθέσεις
Όταν ένας χρήστης λάμβανε επιβεβαίωση κράτησης με σύνδεσμο για επαναπρογραμματισμό, το αρχικό, μη απολυμασμένο HTML περιεχόμενο διατηρούνταν και επαναστελλόταν μέσω αιτήματος τύπου PUT.
Ακόμα πιο ανησυχητικό ήταν το γεγονός ότι οι επιτιθέμενοι μπορούσαν να τροποποιήσουν την παράμετρο joinWebUrl για να εισάγουν παραπλανητικούς συνδέσμους σε συναντήσεις ή εικόνες. Επιπλέον, ήταν δυνατή η έγχυση προσαρμοσμένων επικεφαλίδων ημερολογίου σε συνημμένα αρχεία ICS μέσω των πεδίων X-ALT-DESC και πρόσθετων ORGANIZER εγγραφών.
Οι ειδικοί ασφαλείας συνιστούν στις οργανώσεις να εφαρμόζουν αυστηρή επικύρωση εισόδου για όλες τις διαδικτυακές εφαρμογές, σύμφωνα με τις κατευθυντήριες γραμμές του CWE-20 (Ακατάλληλη Επικύρωση Εισόδου).
Ειδικά για το Microsoft Bookings, οι διαχειριστές θα πρέπει να εξετάσουν την υιοθέτηση των βέλτιστων πρακτικών ασφαλείας που δημοσίευσε η Microsoft τον Μάρτιο του 2025, οι οποίες περιλαμβάνουν τον έλεγχο πρόσβασης στις σελίδες κράτησης και την επιβολή πολιτικών ονοματοδοσίας.
Δείτε επίσης: CISA: Ευπάθεια του Commvault εκμεταλλεύεται ενεργά
Οι οργανισμοί που χρησιμοποιούν το Microsoft Bookings θα πρέπει να διασφαλίσουν ότι τα συστήματά τους είναι ενημερωμένα με τα τελευταία patches ασφαλείας και να εξετάσουν την εφαρμογή επιπρόσθετης παρακολούθησης για ασυνήθιστη δραστηριότητα κρατήσεων.
Πηγή: cybersecuritynews
