Mostrar contexto adicional en las notificaciones de Microsoft Authenticator

MEDIUM

Descripción

Microsoft Authenticator es la aplicación móvil oficial de Microsoft para la MFA y la autenticación sin contraseña y se usa comúnmente como método de autenticación en Entra ID.

Después de una solicitud de autenticación con MFA o sin contraseña, la aplicación envía una notificación de inserción que puede mostrar contexto adicional, incluida la aplicación de destino y la ubicación del intento de inicio de sesión (que Microsoft infiere a partir de la dirección IP). Esto ayuda a los usuarios a decidir si el mensaje es legítimo o un ataque malintencionado.

Este indicador de exposición (IoE) comprueba las siguientes opciones:

  • “Mostrar el nombre de la aplicación en notificaciones de inserción y sin contraseña”
  • “Mostrar ubicación geográfica en notificaciones de inserción y sin contraseña”

El valor seguro esperado para ambas opciones es “Habilitado”. Un valor intermedio, “Administrado por Microsoft” (predeterminado en Graph API), permite a Microsoft definir el valor exacto en función del cambiante escenario de las amenazas de seguridad. Sin embargo, cuando se introdujo este IoE a fines de 2024, Microsoft estableció estas opciones en “Deshabilitado” y, como consecuencia, este IoE no considera que “Administrado por Microsoft” sea seguro de manera predeterminada (aunque se puede ajustar este comportamiento a través de un parámetro).

Esta funcionalidad es especialmente eficaz contra ataques de fatiga de la MFA, donde los atacantes bombardean a las víctimas con notificaciones hasta que finalmente aprueban una. El contexto adicional aumenta la conciencia del usuario y hace que sea más probable que reconozca y rechace los intentos malintencionados.

En Configuración de Microsoft Entra para aumentar la seguridad, Microsoft también recomienda que la aplicación Authenticator muestre el contexto de inicio de sesión.

Solución

Tenable recomienda que aplique el estado “Habilitado” en estas dos opciones en el método de autenticación de Microsoft Authenticator:

  • “Mostrar el nombre de la aplicación en notificaciones de inserción y sin contraseña”
  • “Mostrar ubicación geográfica en notificaciones de inserción y sin contraseña”

Consulte la siguiente documentación de Microsoft para obtener detalles sobre cómo se muestran estos contextos adicionales e instrucciones para habilitarlos a través de varios métodos: Uso de contexto adicional en notificaciones de Microsoft Authenticator: directiva de métodos de autenticación.

Como se indica en la descripción de la vulnerabilidad, recomendamos no utilizar el estado “Administrado por Microsoft” (predeterminado en Graph API), ya que actualmente equivale a “Deshabilitado” (a fines de 2024).

Si es necesario, puede establecer globalmente estas opciones en “Habilitado” mientras especifica los grupos de “Destino” utilizando las opciones “Incluir” y “Excluir”. Tenable recomienda aplicar estas opciones a todos los usuarios utilizando “Incluir” con la opción “Todos los usuarios”.

Detalles del indicador

Nombre: Mostrar contexto adicional en las notificaciones de Microsoft Authenticator

Nombre en clave: SHOW-ADDITIONAL-CONTEXT-IN-MICROSOFT-AUTHENTICATOR-NOTIFICATIONS

Gravedad: Medium

Tipo: Microsoft Entra ID Indicator of Exposure

Información de MITRE ATT&CK: