Detecciones

Grupo público de M365

MEDIUM

Idioma:

Descripción

Los grupos de Microsoft 365 sustentan varias aplicaciones de Office 365, en particular Microsoft Teams, donde cada equipo corresponde a un grupo de M365 asociado. Puede crear estos grupos y luego configurarlos con opciones de privacidad privada o pública, que funcionan de la siguiente manera:

Al crear un grupo, tendrá que decidir si quiere que sea un grupo privado o un grupo público. Cualquier usuario de la organización puede ver el contenido de un grupo público y unirse al grupo. El contenido de un grupo privado debe ser visto por los miembros del grupo y un propietario del grupo privado debe aprobar a los usuarios que quieran unirse al grupo.

Los grupos públicos son más cómodos, pero también implican más riesgos, ya que cualquier usuario dentro del inquilino de la organización, incluidos los usuarios invitados, puede unirse libremente a estos grupos y acceder a los datos que contienen. Por ejemplo:

Teams: conversaciones y archivos compartidos (en realidad se almacenan en un sitio de SharePoint)
OneDrive: bibliotecas compartidas
Exchange Online: buzón de grupo de Outlook
OneNote: notas compartidas
Tareas de Microsoft Planner y Microsoft To Do
Recursos en la nube de Azure (dado que los grupos de M365 pueden tener asignados roles de Azure)
Etc.

Los usuarios malintencionados o curiosos pueden descubrir fácilmente grupos públicos sin necesidad de herramientas de hackeo. Por ejemplo, pueden encontrarlos a través de las funcionalidades para crear equipos y canales y unirse a ellos en Teams, en Outlook o a través del panel de acceso a grupos de Mis aplicaciones, etc.

En Microsoft 365, los propios usuarios finales crean grupos y eligen si son públicos o privados, en general desde aplicaciones como Teams (la más común), Outlook o SharePoint, en lugar de depender de que un administrador de TI los cree, como sucede con los grupos de seguridad. Como consecuencia, los usuarios finales suelen seleccionar la opción de privacidad pública sin comprender cabalmente que esto permite que cualquier usuario dentro del inquilino de Entra de la organización se una al grupo sin requerir la aprobación de un propietario del grupo, lo que les otorga acceso a todo el contenido del grupo.

Los grupos de Microsoft 365, también conocidos como “grupos unificados” y anteriormente denominados “grupos de Office 365”, son uno de los tipos de grupos que se almacenan en Entra ID. Este indicador de exposición se centra específicamente en estos grupos de Microsoft 365, en lugar de los más conocidos grupos de seguridad de Microsoft Entra, que no tienen las mismas opciones de privacidad pública o privada.

Limitación: este indicador de exposición (IoE) no puede determinar automáticamente si un grupo público de M365 es legítimo.

Nota: Los grupos privados también pueden exponer información confidencial si querer, ya que, de manera predeterminada, su nombre, descripción y lista de miembros son visibles para cualquier usuario dentro del inquilino de la organización. Estos metadatos por sí solos pueden ser suficientes para inferir detalles confidenciales, como el objetivo de una posible adquisición si está incluido en el nombre del grupo. Para mitigar este riesgo, Microsoft proporcionó opciones para ocultar los grupos privados de los listados de directorios y ocultar las listas de sus miembros. Sin embargo, estas opciones están deshabilitadas de forma predeterminada, por lo que las organizaciones deben habilitarlas expresamente para garantizar que los metadatos de los grupos privados se mantengan confidenciales.

Solución

Este IoE informa sobre todos los grupos de Microsoft 365 configurados con la opción pública. Como el IoE no puede determinar automáticamente la legitimidad del estado público de un grupo, usted debe revisar cada hallazgo y completar una de las siguientes acciones:

Si el grupo contiene información privada, cambie la opción de privacidad a “Privado” y asegúrese de que solo incluya a usuarios autorizados como miembros del grupo. Con esta configuración, los propietarios del grupo recibirán solicitudes de acceso cada vez que alguien solicite unirse al grupo.
Si el grupo se configura intencionalmente como público, por ejemplo, porque solo contiene información pública, agréguelo a la opción de exclusión del IoE para reconocer que la configuración pública es apropiada.

Los grupos de Microsoft 365 tienen propietarios designados que son responsables de gestionar la configuración y la membresía del grupo. Si tiene que confirmar la opción de privacidad adecuada de un grupo, puede comunicarse con los propietarios del grupo por correo electrónico o el chat de Teams.

Puede cambiar la opción de privacidad de los grupos de Microsoft 365 para que sean públicos o privados mediante varios métodos:

Centro de administración de Microsoft 365: en el menú “Equipos y grupos” -> “Equipos y grupos activos”, haga clic en el grupo y cambie la configuración “Privacidad” en la pestaña “Configuración”.
Centro de administración de Teams: en el menú “Equipos” -> “Administrar equipos”, haga clic en el grupo y edite la configuración “Privacidad” en la pestaña “Configuración”.
Microsoft Graph PowerShell: use el cmdlet Update-MgGroup -Visibility Public|Private|HiddenMembership.
Microsoft Graph API: use la API Update group y configure la propiedad visibility.
Exchange PowerShell: use el cmdlet Set-UnifiedGroup -AccessType Public|Private.
Outlook clásico o web: siga los procedimientos descritos en el artículo.

De forma predeterminada, los grupos de M365 creados en Outlook y Azure Portal tienen la opción privada, que se puede cambiar.

Para evitar la creación de nuevos grupos públicos que puedan no cumplir con las políticas de seguridad y privacidad de su organización, tiene varias opciones:

Use etiquetas de confidencialidad (sujeto a requisitos de licencia). Vincule las etiquetas de confidencialidad a las opciones de privacidad permitidas o no permitidas. Por ejemplo, restrinja un equipo de Teams marcado con una etiqueta de confidencialidad “Confidencial” únicamente a la opción de privacidad privada.
Administre quién puede crear grupos de Microsoft 365 (sujeto a requisitos de licencia). Limite la creación de grupos a administradores expertos que puedan seleccionar el nivel de privacidad apropiado. Implemente un formulario personalizado para la creación de grupos para garantizar opciones de privacidad adecuadas. Precaución: Este enfoque puede reducir la autonomía de los usuarios finales, ya que, en general, los usuarios quieren tener la capacidad de crear equipos por sí mismos.
Informe a los usuarios finales sobre sus responsabilidades y el impacto de cada opción de privacidad. Consulte la documentación de Microsoft sobre la explicación de Grupos de Microsoft 365 a los usuarios. Concientice a los usuarios finales sobre las responsabilidades y permítales tomar decisiones fundamentadas sobre la configuración de privacidad del grupo.
Use un script o este IoE para enumerar periódicamente los grupos públicos de Microsoft 365. Envíe correos electrónicos o mensajes de Teams a los propietarios de los grupos para recordarles los riesgos asociados con los grupos públicos. Permita que los propietarios confirmen su intención o cambien la opción de privacidad del grupo.

Detalles del indicador

Nombre: Grupo público de M365

Nombre en clave: PUBLIC-M365-GROUP

Gravedad: Medium

Tipo: Microsoft Entra ID Indicator of Exposure

Información de MITRE ATT&CK:

Táctica: TA0009 - Collection (texto en inglés)
- Técnicas: T1530 - Data from Cloud Storage (texto en inglés)