Idioma:
Microsoft expone las API a través de aplicaciones en Entra ID para permitir que las aplicaciones de terceros realicen acciones en Microsoft Entra ID, Microsoft 365 (O365) y servicios como SharePoint Online y Exchange Online. Los “permisos de API” protegen el acceso a estas API, que solo deben estar a disposición de las entidades de servicio que los necesitan. La aprobación de permisos se denomina “asignación del rol de aplicación” o “concesión de consentimiento”.
Ciertos permisos de algunas API de Microsoft pueden representar una amenaza para los datos confidenciales del entorno, ya que una entidad de servicio con estos permisos es capaz de acceder a información potencialmente confidencial, a la vez que es más discreta que un usuario con un rol de administrador potente, como un administrador global.
Cuando estos permisos son legítimos, aumentan el riesgo de vulneración de los datos. Cuando no son legítimos, pueden indicar un intento malintencionado de acceder a datos confidenciales, como correos electrónicos, y robarlos.
Hay dos tipos de permisos de API en Microsoft Entra ID, como se describe en la documentación de Microsoft Información general sobre los permisos y el consentimiento:
Los permisos de aplicación se usan por las aplicaciones que se ejecutan sin necesidad de que un usuario inicie sesión. Por ejemplo, las aplicaciones que se ejecutan como servicios en segundo plano o los demonios. Los permisos de aplicación pueden ser aceptados solo por un administrador.
Este indicador de exposición (IoE) solo informa acerca de las entidades de servicio, ya que los permisos de API solo se aplican a las entidades de servicio, no a los usuarios.
Este IoE hace un seguimiento de una lista de permisos confidenciales, la mayoría de los cuales se explican por sí mismos. Sin embargo, el siguiente permiso exige mayor explicación:
Group.Read.All
(expuesto por Microsoft Graph API y Office 365 Exchange Online): este permiso es sorprendentemente de riesgo, ya que permite leer incluso el contenido “del calendario, las conversaciones, los archivos y otro contenido del grupo” de los grupos de M365. Tenga en cuenta las consecuencias para los grupos de M365 que Microsoft Teams utiliza.Las aplicaciones legítimas con estos permisos confidenciales solicitan un acceso que puede ser excesivamente amplio. Esto también puede indicar un ataque de phishing denominado “concesión de consentimiento ilícito”, en el que un atacante logra obtener el consentimiento de un administrador.
De manera predeterminada, este IoE ignora las entidades de servicio deshabilitadas porque los atacantes no pueden usarlas de inmediato.
Referencias externas:
Para empezar, establezca si la entidad de servicio informada que tiene el permiso es legítima. Tenga en cuenta que, desde el punto de vista técnico, un ataque de phishing puede suplantar el nombre para mostrar. Si la entidad de servicio parece pertenecer a un proveedor de software conocido, pídale que confirme que el identificador de la aplicación informada le pertenece. Si la entidad de servicio es ilegítima y falsifica un nombre de aplicación conocido, debe llevar a cabo un análisis forense.
Los * permisos de aplicación siempre requieren el consentimiento del administrador. Capacite a estos administradores en la detección de aplicaciones sospechosas y permisos confidenciales, incluidos los permisos de aplicación relacionados con los datos. Esto debe formar parte de un esfuerzo más amplio de gobierno de las aplicaciones.
Además, Microsoft publicó dos guías sobre cómo llevar a cabo una investigación de la concesión de consentimiento de la aplicación y sobre la detección y corrección de concesiones de consentimiento ilícitas.
Asegúrese de quitar el permiso peligroso de la entidad de servicio (que se encuentra en el menú “Aplicaciones empresariales” del portal), en lugar de quitarlo de la aplicación (que se encuentra en el menú “Registros de aplicaciones”). Quitarlo de la aplicación solo elimina la solicitud de permiso y no afecta la asignación real del permiso.
Finalmente, habilite los registros de actividad de Graph API para capturar información detallada sobre los eventos de Graph API, lo que ayudará a su SOC o SIEM a detectar actividades sospechosas o llevar a cabo investigaciones forenses en caso de ataque. Además, supervise los inicios de sesión de las entidades de servicio y configure alertas para comportamientos sospechosos, en particular para las entidades de servicio de alto riesgo señaladas aquí.
Nombre: Permisos de aplicación peligrosos que afectan a los datos
Nombre en clave: DANGEROUS-APPLICATION-PERMISSIONS-AFFECTING-DATA
Gravedad: Medium
Tipo: Microsoft Entra ID Indicator of Exposure