Detecciones

La directiva de acceso condicional deshabilita Evaluación continua de acceso

MEDIUM

Idioma:

Descripción

Cuando un usuario se autentica en una aplicación o API a través de Microsoft Entra ID, recibe un token de acceso con un plazo de vencimiento establecido. Sin embargo, cuando este token vence, el usuario tiene que volver a contactarse con Entra ID para actualizarlo. Este es el único momento en que Entra ID tiene la oportunidad de denegar la renovación y bloquear el acceso. Este rechazo puede ser consecuencia de cambios en la posición de seguridad del usuario (como el cambio a una red no autorizada o una dirección IP peligrosa, detección de actividad de alto riesgo, etc.) o a cambios en su estado, como una cuenta deshabilitada. El problema es que estos eventos críticos no pueden desencadenar una invalidación del token de acceso hasta su actualización, a pesar de la necesidad de una capacidad de respuesta casi en tiempo real.

Para solucionar este problema, Microsoft implementó la funcionalidad de seguridad Evaluación continua de acceso (CAE), que aborda esta cuestión.

CAE está habilitada de manera predeterminada, pero una directiva de acceso condicional puede deshabilitarla. Tenable considera un riesgo deshabilitar esta funcionalidad de seguridad, por lo que marca como hallazgo cualquier directiva de acceso condicional que deshabilite CAE.

Solución

Tenable y Microsoft no han documentado ningún motivo válido para deshabilitar CAE. Por lo tanto, es fundamental investigar si la directiva de acceso condicional que deshabilitó CAE fue intencional o se produjo por accidente al intentar solucionar otro problema.

Si el caso es legítimo, Tenable recomienda utilizar la sección Asignaciones de la directiva de acceso condicional para reducir su alcance. Esto implica incluir o excluir únicamente los usuarios o grupos problemáticos específicos, en lugar de aplicar la directiva a “Todos los usuarios”.

De lo contrario, Tenable recomienda deshabilitar o eliminar la directiva de acceso condicional, en especial si no se aplica a nadie.

Detalles del indicador

Nombre: La directiva de acceso condicional deshabilita Evaluación continua de acceso

Nombre en clave: CONDITIONAL-ACCESS-POLICY-DISABLES-CONTINUOUS-ACCESS-EVALUATION

Gravedad: Medium

Tipo: Microsoft Entra ID Indicator of Exposure

Información de MITRE ATT&CK:

Táctica: TA0001 - Initial Access (texto en inglés)
- Técnicas: T1078.004 - Valid Accounts: Cloud Accounts (texto en inglés)
Táctica: TA0003 - Persistence (texto en inglés)
- Técnicas: T1098 - Account Manipulation (texto en inglés)