Detecciones

Dispositivos administrados no necesarios para el registro en la MFA

MEDIUM

Idioma:

Descripción

Permitir el registro en la autenticación multifactor (MFA) desde cualquier dispositivo, independientemente de su estado de administración o cumplimiento, genera un grave riesgo de seguridad. Si un atacante vulnera las credenciales de un usuario, podría registrar su propio factor de MFA desde un dispositivo no administrado. De esta forma, se saltaría la protección de la MFA, lo que daría al atacante el control del segundo factor de autenticación y permitiría el acceso no autorizado a recursos confidenciales, lo que podría llevar a la toma de control total de la cuenta.

El modelo de Zero Trust permite acciones críticas, como el registro en la MFA, solo desde dispositivos de confianza y que cumplan los requisitos. Limitar el registro en la MFA a los dispositivos administrados garantiza que el dispositivo que habilita esta funcionalidad de seguridad clave cumpla los estándares de la organización. Esto reduce enormemente el riesgo de que un atacante con credenciales robadas inscriba una MFA malintencionada.

La política MS.AAD.3.8v1 de CISA “M365 Secure Configuration Baseline for Microsoft Entra ID” (texto en inglés), exigida por BOD 25-01, establece de forma específica que los dispositivos administrados DEBERÍAN ser obligatorios para el registro en la MFA.

Si se siguen las pautas de CISA, este indicador de exposición (IoE) se asegura de que al menos una política de acceso condicional esté habilitada para autorizar únicamente a los dispositivos administrados para el registro en la MFA con la siguiente configuración:

Solución

Debe haber una política de acceso condicional (CAP) habilitada para que el inquilino bloquee el registro en la autenticación multifactor (MFA) desde dispositivos no administrados.

Para mitigar este riesgo, CISA (mediante la política MS.AAD.3.8v1 de “M365 Secure Configuration Baseline for Microsoft Entra ID” [texto en inglés]), exigida por BOD 25-01, define los dispositivos administrados como aquellos que cumplen los requisitos o que está unidos de forma híbrida.

Para ello, puede crear una CAP de la siguiente manera:

  • Modificar una CAP existente mediante la aplicación de las opciones que se especifican en la descripción de este IoE.
  • Crear una CAP dedicada y configurarla según las especificaciones de la descripción del IoE.

Nota: El control de otorgamiento “Requerir que el dispositivo esté marcado como conforme” exige que la organización use Intune MDM.

Precaución: Tanto Microsoft como Tenable recomiendan que excluya ciertas cuentas de las políticas de acceso condicional para evitar el bloqueo de cuentas en todo el inquilino y efectos secundarios no deseados. Además, Tenable recomienda que siga la documentación de Microsoft “Planeamiento de la implementación del acceso condicional” para garantizar una planificación y una gestión de cambios adecuadas, así como para mitigar el riesgo de quedar bloqueado. En particular, si usa soluciones de identidades híbridas, como Microsoft Entra Connect o Microsoft Entra Cloud Sync, debe excluir su cuenta de servicio de la política, ya que no puede cumplir con ella. Use la acción “Excluir usuarios” y excluya las cuentas de servicio directamente o marque la opción “Roles de directorio” y seleccione el rol “Cuentas de sincronización de directorios”.

Detalles del indicador

Nombre: Dispositivos administrados no necesarios para el registro en la MFA

Nombre en clave: MANAGED-DEVICES-NOT-REQUIRED-FOR-MFA-REGISTRATION

Gravedad: Medium

Tipo: Microsoft Entra ID Indicator of Exposure

Información de MITRE ATT&CK: