Indicadores de exposición
| Nombre | Descripción | Gravedad | Type |
|---|---|---|---|
| Permisos delegados peligrosos que afectan a los datos | Microsoft expone las API en Entra ID para permitir que las aplicaciones de terceros realicen acciones en los servicios de Microsoft en nombre de los usuarios (lo que se denomina “permisos delegados”). Algunos permisos pueden representar una amenaza para los datos de los usuarios que se almacenan en estos servicios. | MEDIUM | |
| Capacidad de las cuentas estándar de registrar aplicaciones | De manera predeterminada, cualquier usuario de Entra puede registrar aplicaciones en el inquilino. Si bien esta funcionalidad resulta práctica y no representa una vulnerabilidad de seguridad inmediata, conlleva ciertos riesgos. Por lo tanto, siguiendo las prácticas recomendadas, Tenable aconseja deshabilitar esta funcionalidad. | LOW | |
| Cuentas de invitado con acceso equivalente al de las cuentas normales | No se aconseja configurar Entra ID para que considere los invitados como usuarios normales, ya que esto puede permitir que invitados malintencionados lleven a cabo un reconocimiento exhaustivo de los recursos del inquilino. | HIGH | |
| Autenticación heredada no bloqueada | Los métodos de autenticación heredados no admiten la autenticación multifactor (MFA), lo que permite a los atacantes seguir realizando ataques de fuerza bruta, relleno de credenciales y difusión de contraseñas. | MEDIUM | |
| Dispositivos administrados no necesarios para el registro en la MFA | Exigir dispositivos administrados para el registro en la MFA hace que sea más difícil que los atacantes registren la MFA fraudulenta, en caso de robo de credenciales, si tampoco tienen acceso a un dispositivo administrado. | MEDIUM | |
| Protección con contraseña no habilitada para entornos locales | Protección con contraseña de Microsoft Entra es una funcionalidad de seguridad que evita que los usuarios establezcan contraseñas fáciles de adivinar con el fin de mejorar la seguridad general de las contraseñas en una organización. | MEDIUM | |
| Política de contraseñas débiles: antigüedad mínima | Una política de contraseñas con una antigüedad mínima baja para las contraseñas puede permitir que los usuarios alternen entre contraseñas usadas anteriormente, con lo que es posible que reutilicen credenciales vulneradas. | LOW | |
| Permisos delegados peligrosos que afectan al inquilino | Microsoft expone las API en Entra ID para permitir que las aplicaciones de terceros realicen acciones en los servicios de Microsoft en nombre de los usuarios (lo que se denomina “permisos delegados”). Algunos permisos pueden representar una amenaza grave a la totalidad del inquilino de Microsoft Entra. | HIGH | |
| Cuenta deshabilitada asignada a rol privilegiado | Contar con un proceso de administración de cuentas sano exige supervisar las asignaciones a roles con privilegios. | LOW | |
| Dispositivo inactivo | Los dispositivos inactivos plantean riesgos de seguridad, como configuraciones obsoletas y vulnerabilidades sin parches. Sin una supervisión y actualizaciones periódicas, estos dispositivos obsoletos se convierten en objetivos potenciales de explotación, lo que pone en peligro la integridad de los inquilinos y la confidencialidad de los datos. | LOW | |
| Usuario sin privilegios inactivo | Los usuarios sin privilegios inactivos plantean riesgos de seguridad, ya que los atacantes pueden aprovecharse de ellos para obtener acceso no autorizado. Sin una supervisión y desactivación periódicas, estos usuarios obsoletos crean puntos de entrada potenciales para actividades malintencionadas al expandir la superficie de ataque. | LOW | |
| Usuario privilegiado inactivo | Los usuarios privilegiados inactivos plantean riesgos de seguridad, ya que los atacantes pueden aprovecharse de ellos para obtener acceso no autorizado. Sin una supervisión y desactivación periódicas, estos usuarios obsoletos crean puntos de entrada potenciales para actividades malintencionadas al expandir la superficie de ataque. | MEDIUM | |
| Usuario privilegiado no utilizado nunca | Las cuentas de usuario privilegiado que no se utilizan nunca son vulnerables a ataques, ya que a menudo evaden la detección de las medidas defensivas. Además, sus contraseñas predeterminadas potenciales las convierten en objetivos prioritarios de los atacantes. | MEDIUM | |
| Usuario privilegiado no utilizado nunca | Las cuentas de usuario privilegiado que no se utilizan nunca son vulnerables a ataques, ya que a menudo evaden la detección de las medidas defensivas. Además, sus contraseñas predeterminadas potenciales las convierten en objetivos prioritarios de los atacantes. | MEDIUM | |
| Vencimiento de contraseñas exigido | Exigir el vencimiento de contraseñas en los dominios de Microsoft Entra ID puede reducir la seguridad al pedir a los usuarios que cambien de contraseña con frecuencia, lo que suele llevar a contraseñas débiles, predecibles o reutilizadas que reducen la protección general de las cuentas. | LOW | |
| Lista de dominios federados | La configuración de dominio federado malintencionada es una amenaza común, que los atacantes usan como puerta trasera de autenticación para el inquilino de Entra ID. Verificar los dominios federados existentes y recientemente agregados es fundamental para garantizar que las configuraciones sean confiables y legítimas. Este indicador de exposición ofrece una lista completa de dominios federados y sus atributos pertinentes para ayudarlo a tomar decisiones informadas sobre el estado de seguridad. | LOW | |
| Puerta trasera conocida de dominios federados | Microsoft Entra ID permite la delegación de la autenticación a otro proveedor por medio de la federación. Sin embargo, los atacantes con privilegios elevados pueden explotar esta característica al agregar su dominio federado malintencionado, lo que lleva a la persistencia y al escalamiento de privilegios. | CRITICAL | |
| MFA faltante para cuenta sin privilegios | La MFA ofrece a las cuentas una protección sólida frente a contraseñas débiles o vulneradas. Según las prácticas recomendadas y las normas de seguridad, lo aconsejable es habilitar la MFA, incluso para las cuentas sin privilegios. Las cuentas que no tienen registrado ningún método de MFA no pueden beneficiarse de esta característica. | MEDIUM | |
| Grupo público de M365 | Los grupos de Microsoft 365 almacenados en Entra ID son públicos o privados. Los grupos públicos representan un riesgo de seguridad porque cualquier usuario dentro del inquilino puede unirse a ellos y acceder a sus datos (chats o archivos de Teams, correos electrónicos, etc.). | MEDIUM | |
| Funcionalidad Pase de acceso temporal habilitada | La funcionalidad Pase de acceso temporal (TAP) es un método de autenticación temporal que utiliza un código de acceso de uso limitado o de tiempo limitado. Si bien es una funcionalidad legítima, es más seguro deshabilitarla para reducir la superficie de ataque si su organización no la requiere. | LOW | |
| Dominio sin verificar | Debe confirmar la titularidad de todos los dominios personalizados en Entra ID. Mantenga los dominios sin verificar solo temporalmente: debe verificarlos o quitarlos para mantener una lista de dominios prolija y permitir que las revisiones sean eficientes. | LOW | |
| Cuenta de invitado con un rol con privilegios | Las cuentas de invitado son identidades externas que pueden representar un riesgo de seguridad cuando tienen asignados roles privilegiados. Esto otorga privilegios sustanciales dentro del inquilino a personas ajenas a la organización. | HIGH | |
| Asignación sospechosa del rol Cuentas de sincronización de directorios | Cuentas de sincronización de directorios es un rol privilegiado de Entra, oculto dentro de los portales de Azure y Entra ID, que en general se designa para cuentas de servicio de Microsoft Entra Connect (anteriormente Azure AD Connect). Sin embargo, agentes malintencionados pueden explotar este rol para realizar ataques encubiertos. | HIGH | |
| Entidad de servicio propia con credenciales | Las entidades de servicio propias tienen permisos potentes, pero se pasan por alto por estar ocultas, pertenecer a Microsoft y ser numerosas. Los atacantes agregan credenciales a estas entidades para aprovechar sigilosamente sus privilegios con el fin de escalamiento de privilegios y persistencia. | HIGH | |
| MFA no obligatoria para un rol privilegiado | La MFA ofrece a las cuentas una protección sólida frente a contraseñas débiles o vulneradas. Según las prácticas recomendadas y las normas de seguridad, lo aconsejable es habilitar la MFA, en especial cuando se trata de cuentas con privilegios que tienen asignados roles privilegiados. | HIGH |