Detecciones

Permisos de aplicación peligrosos que afectan a los datos

MEDIUM

Idioma:

Descripción

Microsoft expone las API a través de aplicaciones en Entra ID para permitir que las aplicaciones de terceros realicen acciones en Microsoft Entra ID, Microsoft 365 (O365) y servicios como SharePoint Online y Exchange Online. Los “permisos de API” protegen el acceso a estas API, que solo deben estar a disposición de las entidades de servicio que los necesitan. La aprobación de permisos se denomina “asignación del rol de aplicación” o “concesión de consentimiento”.

Ciertos permisos de algunas API de Microsoft pueden representar una amenaza para los datos confidenciales del entorno, ya que una entidad de servicio con estos permisos es capaz de acceder a información potencialmente confidencial, a la vez que es más discreta que un usuario con un rol de administrador potente, como un administrador global.

Cuando estos permisos son legítimos, aumentan el riesgo de vulneración de los datos. Cuando no son legítimos, pueden indicar un intento malintencionado de acceder a datos confidenciales, como correos electrónicos, y robarlos.

Hay dos tipos de permisos de API en Microsoft Entra ID, como se describe en la documentación de Microsoft Información general sobre los permisos y el consentimiento:

Permisos de aplicación: este indicador de exposición examina este primer tipo; consulte el indicador de exposición relacionado “Permisos de aplicación peligrosos que afectan al inquilino” para ver las amenazas a todo el entorno de Microsoft Entra. El consentimiento proviene de los administradores y los permisos se aplican a todo el inquilino. Microsoft los describe de la siguiente forma:

Los permisos de aplicación se usan por las aplicaciones que se ejecutan sin necesidad de que un usuario inicie sesión. Por ejemplo, las aplicaciones que se ejecutan como servicios en segundo plano o los demonios. Los permisos de aplicación pueden ser aceptados solo por un administrador.

Permisos delegados: consulte el indicador de exposición relacionado “Permisos delegados peligrosos que afectan a los datos”.

Este indicador de exposición (IoE) solo informa acerca de las entidades de servicio, ya que los permisos de API solo se aplican a las entidades de servicio, no a los usuarios.

Este IoE hace un seguimiento de una lista de permisos confidenciales, la mayoría de los cuales se explican por sí mismos. Sin embargo, el siguiente permiso exige mayor explicación:

Group.Read.All (expuesto por Microsoft Graph API y Office 365 Exchange Online): este permiso es sorprendentemente de riesgo, ya que permite leer incluso el contenido “del calendario, las conversaciones, los archivos y otro contenido del grupo” de los grupos de M365. Tenga en cuenta las consecuencias para los grupos de M365 que Microsoft Teams utiliza.

Las aplicaciones legítimas con estos permisos confidenciales solicitan un acceso que puede ser excesivamente amplio. Esto también puede indicar un ataque de phishing denominado “concesión de consentimiento ilícito”, en el que un atacante logra obtener el consentimiento de un administrador.

De manera predeterminada, este IoE ignora las entidades de servicio deshabilitadas porque los atacantes no pueden usarlas de inmediato.

Referencias externas:

Cloudbrothers - Azure Attack Paths (texto en inglés)
Microsoft - Exchange Web Server API abuse (texto en inglés)
Microsoft - Threat actors misuse OAuth applications to automate financially driven attacks (texto en inglés)

Solución

Para empezar, establezca si la entidad de servicio informada que tiene el permiso es legítima. Tenga en cuenta que, desde el punto de vista técnico, un ataque de phishing puede suplantar el nombre para mostrar. Si la entidad de servicio parece pertenecer a un proveedor de software conocido, pídale que confirme que el identificador de la aplicación informada le pertenece. Si la entidad de servicio es ilegítima y falsifica un nombre de aplicación conocido, debe llevar a cabo un análisis forense.

Si la entidad de servicio es legítima:
- Identifique el propietario y el rol para evaluar si realmente necesita estos permisos confidenciales.
  - Si se trata de una aplicación interna, evalúe sus funcionalidades y reduzca los permisos según el principio de privilegios mínimos, como se describe en la sección Consentimiento y autorización de la documentación de Microsoft Graph API. En esta guía se especifican los permisos mínimos necesarios para cada API.
  - Si se trata de una aplicación de terceros, valide que el acceso a los datos sea apropiado para esta aplicación (mismo perímetro). En caso contrario, solicite al proveedor que documente el motivo por el cual son necesarios esos permisos y si se pueden quitar de manera segura.
- Como medida de defensa profunda, si tiene las licencias Premium de Identidades de carga de trabajo necesarias, considere usar Acceso condicional para las identidades de carga de trabajo. Esto le permite restringir las entidades de servicio de alto riesgo a ubicaciones de confianza conocidas y limitar el acceso en función de inicios de sesión de riesgo.

Los * permisos de aplicación siempre requieren el consentimiento del administrador. Capacite a estos administradores en la detección de aplicaciones sospechosas y permisos confidenciales, incluidos los permisos de aplicación relacionados con los datos. Esto debe formar parte de un esfuerzo más amplio de gobierno de las aplicaciones.

Quite un permiso si cree que es ilegítimo. Tenable recomienda guardar primero las pruebas, en caso de que tenga pensado llevar a cabo una investigación forense más exhaustiva. El portal de Microsoft Entra tiene una característica dedicada para revisar los permisos concedidos a aplicaciones empresariales.

Además, Microsoft publicó dos guías sobre cómo llevar a cabo una investigación de la concesión de consentimiento de la aplicación y sobre la detección y corrección de concesiones de consentimiento ilícitas.

Asegúrese de quitar el permiso peligroso de la entidad de servicio (que se encuentra en el menú “Aplicaciones empresariales” del portal), en lugar de quitarlo de la aplicación (que se encuentra en el menú “Registros de aplicaciones”). Quitarlo de la aplicación solo elimina la solicitud de permiso y no afecta la asignación real del permiso.

Finalmente, habilite los registros de actividad de Graph API para capturar información detallada sobre los eventos de Graph API, lo que ayudará a su SOC o SIEM a detectar actividades sospechosas o llevar a cabo investigaciones forenses en caso de ataque. Además, supervise los inicios de sesión de las entidades de servicio y configure alertas para comportamientos sospechosos, en particular para las entidades de servicio de alto riesgo señaladas aquí.

Detalles del indicador

Nombre: Permisos de aplicación peligrosos que afectan a los datos

Nombre en clave: DANGEROUS-APPLICATION-PERMISSIONS-AFFECTING-DATA

Gravedad: Medium

Tipo: Microsoft Entra ID Indicator of Exposure

Información de MITRE ATT&CK:

Táctica: TA0001 - Initial Access (texto en inglés)
- Técnicas: T1566 - Phishing (texto en inglés)
Táctica: TA0003 - Persistence (texto en inglés)
- Técnicas: T1671 - Cloud Application Integration (texto en inglés)
Táctica: TA0006 - Credential Access (texto en inglés)
- Técnicas: T1528 - Steal Application Access Token (texto en inglés)
Táctica: TA0008 - Lateral Movement (texto en inglés)
- Técnicas: T1550.001 - Use Alternate Authentication Material: Application Access Token (texto en inglés)