Grupo dinámico con una regla explotable

Los grupos dinámicos en Microsoft Entra ID son una funcionalidad potente que requiere una licencia P1 o superior. Estos grupos actualizan automáticamente su pertenencia según reglas específicas ligadas a los atributos del usuario. Sin embargo, si las reglas se basan en atributos que los usuarios pueden modificar por sí mismos, se vuelven vulnerables a la explotación.

Un atacante con la capacidad de modificar un atributo que se use en una regla de un grupo dinámico puede manipular su pertenencia. Este error de configuración puede generar accesos no autorizados o el escalamiento de privilegios si el grupo otorga acceso a recursos confidenciales.

Si bien un usuario no puede modificar muchos de los atributos de un inquilino, las cuentas de invitado son una excepción. Un usuario invitado controlado por un atacante, con privilegios administrativos en el inquilino local del atacante, puede modificar atributos allí y explotar la regla del grupo dinámico en el inquilino de destino.

Este problema, inicialmente señalado en la literatura sobre investigaciones de seguridad y pruebas de penetración alrededor de 2020, sigue siendo un vector de ataque viable en entornos mal configurados. Desde finales de 2024, la herramienta de ataque AADInternals ha incluido una función para identificar grupos explotables.

Posible escenario de ataque:

1. Reconocimiento: un atacante obtiene acceso a un inquilino como usuario estándar sin ningún rol privilegiado. De manera predeterminada, puede enumerar los grupos y ver las reglas de los grupos dinámicos.
2. Selección del objetivo: los atacantes identifican grupos dinámicos con permisos confidenciales, como roles privilegiados de Azure en las suscripciones. Apuntan a reglas que usan atributos explotables, como displayName, que contienen palabras clave específicas (por ejemplo, “admin”).
3. Preparación malintencionada: los atacantes crean un usuario en su propio inquilino de Entra cuyos atributos coinciden con las reglas de pertenencia del grupo objetivo.
4. Invitación de invitado: los atacantes invitan a este usuario malintencionado como invitado al inquilino de destino.
5. Explotación de reglas: cuando el invitado malintencionado acepta la invitación, se crea su cuenta en el inquilino de destino, y las reglas de pertenencia del grupo dinámico procesan sus atributos.
6. Escalamiento: el invitado malintencionado se une automáticamente al grupo dinámico y hereda sus permisos (por ejemplo, roles privilegiados en suscripciones a Azure) a los pocos minutos de la creación de la cuenta.

El riesgo y la gravedad resultante dependen de estos factores:

• Configuración de acceso de los invitados: las restricciones débiles para invitados mejoran la viabilidad del ataque. El riesgo aumenta con la capacidad de invitar a invitados y ver las reglas del grupo (consulte los indicadores de exposición relacionados “Cuentas de invitado sin restricciones” y “Cuentas de invitado con acceso equivalente al de las cuentas normales”).
• Alcance del acceso al grupo: la gravedad de la explotación depende de los recursos que el grupo controla, que pueden incluir:
  • Servicios de Microsoft 365 (canales de Teams, sitios de SharePoint, bandejas de entrada de Exchange)
  • Recursos en la nube de Azure
  • Otras aplicaciones integradas

Los grupos dinámicos simplifican las tareas administrativas, pero exigen prestar mucha atención a la configuración para evitar los abusos. Si se atienden estos riesgos, los administradores pueden mantener la seguridad y la eficiencia de los grupos dinámicos dentro de la gestión de Entra ID.

La corrección más inmediata es evitar los atributos controlados por los usuarios en las reglas: no base las reglas de pertenencia a grupos dinámicos en atributos que los usuarios, especialmente los invitados, puedan modificar directamente. Sin embargo, esto reduce significativamente la utilidad y la flexibilidad de la funcionalidad.

Como se describió, el método de explotación más fácil implica invitar a un invitado malintencionado. Para mitigar esto, se pueden configurar políticas para restringir las invitaciones de invitados a un grupo de usuarios de confianza. Si bien esto puede afectar la colaboración, reduce significativamente el riesgo de acceso malintencionado por parte de invitados. Como alternativa, puede excluir a estos invitados peligrosos si no espera que sean miembros del grupo dinámico. En el editor de reglas, agregue una regla “And” en la propiedad userType con el operador Not Equals para el valor Guest, que genera esta regla: and (user.userType -ne "Guest"). Tenga en cuenta que esto no protege contra “miembros externos” malintencionados.

Sin embargo, un usuario interno con la capacidad de editar atributos de usuario (por ejemplo, a través de permisos otorgados por un rol de Entra) también puede aprovecharse de esto y crear rutas de ataque adicionales. Por lo tanto, revise atentamente los roles de Entra que otorgan dichos permisos.

Los usuarios internos, así como los invitados de menor confianza, pueden descubrir fácilmente grupos explotables. Para mitigar esto, puede reducir la visibilidad de los grupos y sus reglas por parte de los invitados. Consulte las recomendaciones en los indicadores de exposición relacionados “Cuentas de invitado sin restricciones” y “Cuentas de invitado con acceso equivalente al de cuentas normales”. Sin embargo, tenga en cuenta que esto no impide que los usuarios internos se aprovechen de los grupos, ya que aún pueden identificar grupos objetivo.

Como complemento, puede supervisar periódicamente los cambios en la pertenencia a grupos dinámicos para detectar y abordar posibles explotaciones. Puede hacerlo en tiempo real mediante el registro de auditoría de Entra o elegir “Pausar el procesamiento” en las propiedades del grupo dinámico y volver a habilitarlo solo cuando tenga todo listo para comparar los miembros antes y después del cambio.

Por último, puede elegir excluir al grupo identificado si acepta el riesgo, ya sea porque lo considera bajo (debido a una probabilidad mínima de detección o explotación) o porque la pertenencia en el grupo no otorga acceso a recursos confidenciales.

Nombre: Grupo dinámico con una regla explotable

Nombre en clave: DYNAMIC-GROUP-FEATURING-AN-EXPLOITABLE-RULE

Gravedad: Medium

Tipo: Microsoft Entra ID Indicator of Exposure