Funcionalidad Pase de acceso temporal habilitada

LOW

Descripción

Pase de acceso temporal (TAP) sirve como método de autenticación temporal y ofrece una alternativa a la autenticación estándar de Microsoft Entra, como una contraseña y MFA. TAP ― que se diseñó para casos como la incorporación de empleados, la pérdida de contraseñas y los restablecimientos del servicio de asistencia técnica, o como arranque para implementar otros métodos de autenticación, como sin contraseña (por ejemplo, Microsoft Authenticator, Windows Hello para Empresas o la clave de seguridad FIDO2) ― presenta un código de acceso de uso único o de tiempo limitado. Los usuarios pueden aprovechar este código de acceso durante toda la vida útil del TAP, según la política de TAP configurada en la consola “Métodos de autenticación” (a través de Azure Portal o el Centro de administración de Microsoft Entra). Esta política puede aplicarse universalmente a todos los usuarios o de forma selectiva a grupos específicos. Una vez que se activa la política, los usuarios privilegiados con el permiso necesario pueden generar un TAP en la consola “Métodos de autenticación”. Entre las consideraciones clave se incluyen las siguientes:

  • TAP se salta la MFA, ya que se considera un método de autenticación seguro.
  • TAP genera un riesgo de seguridad potencial si un agente malintencionado con privilegios elevados lo explota. En tal situación, un atacante podría acceder a una cuenta sin conocer la contraseña y sin restablecerla, lo que lo convierte en un método más sigiloso. Tenga en cuenta que un TAP no reemplaza la contraseña de un usuario. Por lo tanto, los usuarios atacados pueden seguir iniciando sesión con su contraseña habitual u otro método de autenticación, a pesar de que se haya configurado un TAP como puerta trasera.

Si su organización utiliza TAP, asegúrese de que se usen exclusivamente para la incorporación de nuevos empleados o dispositivos. Por lo tanto, los inicios de sesión a través de TAP solo deberían tener lugar ocasionalmente y bajo una estrecha supervisión.

Esta funcionalidad legítima se puede habilitar de forma intencional y está activa dentro del inquilino. En tales casos, puede agregar el inquilino como excepción en las opciones, teniendo en cuenta la ampliación en la superficie de ataque. Por el contrario, si la funcionalidad no está en uso, se recomienda deshabilitarla para minimizar la superficie de ataque potencial.

Solución

Puede utilizar esta funcionalidad para arrancar métodos de autenticación sin contraseña según lo recomienda Microsoft. Si en su organización se utiliza para ese propósito, debe agregar el identificador del inquilino a la lista de exclusión para este indicador de exposición. Para mitigar aún más la superficie de ataque, considere la posibilidad de cambiar la configuración predeterminada de “Todos los usuarios” a un subconjunto más restringido con el fin de limitar el alcance de usuarios o grupos elegibles para la generación de pases de acceso temporal.

Sin embargo, si su organización actualmente no utiliza TAP, es más seguro deshabilitarlo mediante el siguiente procedimiento:

  • Inicie sesión en el Centro de administración de Microsoft Entra.
  • Vaya a “Protección” > “Métodos de autenticación” > “Directivas”.
  • En la lista de métodos de autenticación disponibles, seleccione “Pase de acceso temporal”.
  • Defina el conmutador “Habilitar” en “Desactivado” para deshabilitar la funcionalidad.

Detalles del indicador

Nombre: Funcionalidad Pase de acceso temporal habilitada

Nombre en clave: TEMPORARY-ACCESS-PASS-FEATURE-ENABLED

Gravedad: Low

Tipo: Microsoft Entra ID Indicator of Exposure

Información de MITRE ATT&CK: