Detecciones

Flujo de trabajo de consentimiento del administrador para aplicaciones sin configurar

MEDIUM

Idioma:

Descripción

Sin el flujo de trabajo de consentimiento del administrador, los usuarios que no son administradores no tienen ninguna forma integrada de escalar las solicitudes de permisos para las aplicaciones. Como resultado, pueden recurrir a soluciones alternativas o, si se permite el consentimiento del usuario, otorgar permisos ellos mismos (consulte el IoE “Consentimiento de usuario sin restricciones para aplicaciones”). En ambos casos, la organización pierde visibilidad y control de la concesión de permisos, lo que debilita la exigencia de privilegios mínimos.

Los ataques de phishing con consentimiento (también conocidos como ataques de concesión ilícita de consentimiento) engañan a los usuarios para que concedan acceso a aplicaciones malintencionadas que parecen legítimas. Sin un flujo de trabajo de aprobación, no hay ninguna capa de revisión para marcar los ámbitos de permisos sospechosos, como Files.ReadWrite (acceso total a los archivos de los usuarios) o Mail.ReadWrite (acceso de lectura y escritura a todos los buzones de correo). Como consecuencia, los atacantes pueden obtener acceso persistente a los datos de los usuarios, acceso que no se revoca con los cambios de contraseña ni la MFA.

Sin el flujo de trabajo de consentimiento del administrador, los administradores deben gestionar las solicitudes de permisos a través de canales ad hoc, como el correo electrónico, el chat o el contacto directo, lo que crea puntos ciegos de auditoría. No existe ningún proceso de solicitud, sistema de recordatorios ni registro automatizados de quién aprobó qué, cuándo ni por qué. Esta falta de auditoría hace que sea difícil demostrar que se hizo una revisión adecuada antes de conceder los permisos de la aplicación.

En Configuración de Microsoft Entra para aumentar la seguridad, Microsoft también recomienda que el flujo de trabajo de consentimiento del administrador esté habilitado.

Solución

Habilite y configure el flujo de trabajo de consentimiento del administrador en su inquilino de Entra ID para establecer un proceso claro y estandarizado mediante el cual los usuarios soliciten permisos para las aplicaciones que requieran el consentimiento del administrador. Cuando está habilitado, los usuarios ven el cuadro de diálogo “Se necesita aprobación” y pueden enviar una justificación. El sistema dirige la solicitud automáticamente a los revisores designados. Este flujo de trabajo estructurado abarca todas las solicitudes y ofrece a los administradores visibilidad total de las solicitudes pendientes.

Después de habilitar el flujo de trabajo de consentimiento del administrador, los administradores deben asignar revisores apropiados. Para aprobar las solicitudes, los revisores deben tener un rol específico, como Administrador global, Administrador de aplicaciones en la nube, Administrador de aplicaciones o Administrador de roles con privilegios. Al asignar a alguien como revisor no se elevan sus privilegios. Los revisores que no tienen el rol necesario pueden ver, bloquear o denegar solicitudes, pero solo pueden aprobarlas aquellos que ya tengan un rol autorizado para otorgar el consentimiento del administrador de todo el inquilino. Tenable recomienda asignar el rol “Administrador de aplicaciones en la nube” siempre que sea posible, ya que otorga los privilegios necesarios sin el amplio acceso del rol “Administrador global”, que debe reservarse para emergencias. Sin embargo, solo los administradores globales pueden aprobar las solicitudes de consentimiento del administrador para las aplicaciones que solicitan roles de aplicación de Microsoft Graph.

Audite periódicamente la lista de revisores para mantener las asignaciones actualizadas a medida que cambia el personal. Los nuevos revisores solo pueden ver las solicitudes creadas después de su asignación, mientras que los revisores eliminados conservan el acceso a las solicitudes anteriores. Los administradores deben planificar con cuidado las adiciones y eliminaciones de revisores para evitar deficiencias de cobertura.

Una vez formalizado el proceso de revisión, configure las notificaciones por correo electrónico y las opciones de vencimiento de las solicitudes de consentimiento. Estas opciones alertan a los revisores cuando se envían nuevas solicitudes o cuando están a punto de vencer. Los usuarios que envían solicitudes reciben notificaciones cuando se aprueban, deniegan o bloquean. Al definir un período de vencimiento, se evita que las solicitudes obsoletas se demoren indefinidamente.

Detalles del indicador

Nombre: Flujo de trabajo de consentimiento del administrador para aplicaciones sin configurar

Nombre en clave: ADMIN-CONSENT-WORKFLOW-FOR-APPLICATIONS-NOT-CONFIGURED

Gravedad: Medium

Tipo: Microsoft Entra ID Indicator of Exposure

Información de MITRE ATT&CK:

Táctica: TA0001 - Initial Access (texto en inglés)
- Técnicas: T1566 - Phishing (texto en inglés)
Táctica: TA0004 - Privilege Escalation (texto en inglés)
- Técnicas: T1098.001 - Account Manipulation: Additional Cloud Credentials (texto en inglés), T1098.003 - Account Manipulation: Additional Cloud Roles (texto en inglés)
Táctica: TA0006 - Credential Access (texto en inglés)
- Técnicas: T1528 - Steal Application Access Token (texto en inglés)
Táctica: TA0008 - Lateral Movement (texto en inglés)
- Técnicas: T1550.001 - Use Alternate Authentication Material: Application Access Token (texto en inglés)