Pesquisadores de cibersegurança identificaram uma falha crítica no Microsoft Bookings, ferramenta de agendamento integrada ao Microsoft 365, que permite a modificação não autorizada de detalhes de reuniões por meio da exploração das APIs de criação e edição de compromissos. A vulnerabilidade decorre da ausência de validação e sanitização adequadas em campos como serviceNotes, additionalNotes e body.content. Esses campos aceitam HTML arbitrário, que é posteriormente incorporado a e-mails de confirmação, convites do Microsoft Teams e arquivos de calendário (ICS), tornando-se vetores para diversos tipos de ataques.

Entre os riscos mais preocupantes está o uso de links maliciosos disfarçados de convites legítimos, facilitando campanhas de phishing. Além disso, a falha pode ser usada para alterar horários, estender ou reduzir a duração de reuniões, adicionar ou remover participantes e até mesmo expor informações sensíveis originalmente destinadas apenas à equipe interna. Em um cenário mais grave, um agente mal-intencionado poderia agendar reuniões com durações extremas, comprometendo completamente a agenda de colaboradores e impedindo novos agendamentos — uma forma de negação de serviço.

Apesar de a Microsoft já ter aplicado medidas de mitigação, os pesquisadores alertam que organizações que utilizam o Microsoft Bookings devem revisar os parâmetros de agendamento em busca de conteúdos suspeitos, reforçar a conscientização sobre riscos de phishing relacionados a convites de calendário e monitorar atividades atípicas no sistema. O caso destaca a importância de validações robustas no lado do servidor, especialmente em ferramentas voltadas ao público externo.