Consentimiento de usuario sin restricciones para aplicaciones

MEDIUM

Descripción

Entra ID implementa el mecanismo de delegación OAuth 2.0, lo que permite a los usuarios dar su consentimiento a cualquier aplicación de terceros. Al hacerlo, los usuarios conceden a estas aplicaciones acceso a sus datos y, por extensión, a los datos de cualquier organización a la que puedan acceder.

Los atacantes han ideado ataques de ingeniería social mediante aplicaciones malintencionadas que a menudo se hacen pasar por aplicaciones empresariales legítimas y que requieren permisos confidenciales. Una vez que se conceden estos permisos, permiten a los atacantes robar datos o realizar acciones en nombre del usuario. Estos ataques se conocen como “concesión de consentimiento ilícito” o “phishing de consentimiento”.

Entra ID ofrece tres opciones con respecto al consentimiento del usuario para las aplicaciones:

  • “No permitir el consentimiento del usuario”: la opción más segura.
  • “Permitir el consentimiento del usuario para aplicaciones de editores verificados, para permisos seleccionados”: Microsoft recomienda esta opción intermedia porque reduce el riesgo al permitir solo permisos menos confidenciales y restringir el acceso a aplicaciones de “editores verificados”.
  • “Permitir el consentimiento del usuario para aplicaciones”: de forma predeterminada, esta opción menos segura permite a los usuarios dar su consentimiento a cualquier aplicación, incluidas las externas, para la mayoría de los permisos (excepto aquellos reservados para administradores).

De manera predeterminada, el IoE solo marca como incorrecta la opción menos segura en Entra ID. Para una mayor sensibilidad de seguridad, puede habilitar la opción “Estricto” del IoE, que marca la opción de Entra ID menos segura y la intermedia.

La política MS.AAD.5.2v1 de CISA “M365 Secure Configuration Baseline for Microsoft Entra ID” (texto en inglés), exigida por BOD 25-01, requiere que solo los administrados tengan permitido dar el consentimiento a las aplicaciones.

Solución

Tenable recomienda seguir el consejo de Microsoft y elegir al menos la opción intermedia: “Permitir el consentimiento del usuario para aplicaciones de editores verificados, para permisos seleccionados”. Para las organizaciones con requisitos de seguridad más estrictos, puede elegir la opción más segura: “No permitir el consentimiento del usuario”.

Habilitar las restricciones exige que los administradores de Microsoft Entra con roles específicos administren el consentimiento a las aplicaciones y evalúen las solicitudes de consentimiento. Además, tienen que revisar las solicitudes de consentimiento de los administradores, lo que aumenta su carga de trabajo. Asegúrese de que reciban la capacitación adecuada para validar únicamente aplicaciones y permisos legítimos.

Siga la guía de Microsoft en la que se describe cómo configurar la manera en que los usuarios dan su consentimiento a las aplicaciones. Esta guía incluye instrucciones para usar el Centro de administración de Microsoft Entra, Microsoft Graph PowerShell o Microsoft Graph API.

Cambiar la opción seleccionada no deshará los consentimientos anteriores. Por lo tanto, tenga cuidado si sospecha que ataques de ingeniería social pueden haber sacado provecho de esta técnica. Puede consultar los resultados de los IoE “Permisos de API peligrosos que afectan al inquilino” y “Permisos de API peligrosos que afectan a los datos” para detectar permisos potencialmente malintencionados o que se concedieron en exceso.

Además, puede considerar la posibilidad de habilitar el “consentimiento incremental basado en riesgos”.