Indicadores de exposición
| Nombre | Descripción | Gravedad | Type |
|---|---|---|---|
| Usuario privilegiado no utilizado nunca | Las cuentas de usuario privilegiado que no se utilizan nunca son vulnerables a ataques, ya que a menudo evaden la detección de las medidas defensivas. Además, sus contraseñas predeterminadas potenciales las convierten en objetivos prioritarios de los atacantes. | MEDIUM | |
| Protección con contraseña no habilitada para entornos locales | Protección con contraseña de Microsoft Entra es una funcionalidad de seguridad que evita que los usuarios establezcan contraseñas fáciles de adivinar con el fin de mejorar la seguridad general de las contraseñas en una organización. | MEDIUM | |
| Cuenta de invitado con un rol con privilegios | Las cuentas de invitado son identidades externas que pueden representar un riesgo de seguridad cuando tienen asignados roles privilegiados. Esto otorga privilegios sustanciales dentro del inquilino a personas ajenas a la organización. | HIGH | |
| Puerta trasera conocida de dominios federados | Microsoft Entra ID permite la delegación de la autenticación a otro proveedor por medio de la federación. Sin embargo, los atacantes con privilegios elevados pueden explotar esta característica al agregar su dominio federado malintencionado, lo que lleva a la persistencia y al escalamiento de privilegios. | CRITICAL | |
| MFA no obligatoria para un rol privilegiado | La MFA ofrece a las cuentas una protección sólida frente a contraseñas débiles o vulneradas. Según las prácticas recomendadas y las normas de seguridad, lo aconsejable es habilitar la MFA, en especial cuando se trata de cuentas con privilegios que tienen asignados roles privilegiados. | HIGH | |
| MFA faltante para cuenta sin privilegios | La MFA ofrece a las cuentas una protección sólida frente a contraseñas débiles o vulneradas. Según las prácticas recomendadas y las normas de seguridad, lo aconsejable es habilitar la MFA, incluso para las cuentas sin privilegios. Las cuentas que no tienen registrado ningún método de MFA no pueden beneficiarse de esta característica. | MEDIUM | |
| Asignación sospechosa del rol Sincronización de AD | Microsoft diseñó dos roles ocultos integrados de Entra ID para la sincronización en Active Directory, destinados exclusivamente a las cuentas de servicio de Entra Connect o Cloud Sync. Estos roles llevan implícitos permisos con privilegios que agentes malintencionados podrían explotar para lanzar ataques encubiertos. | HIGH | |
| Lista de dominios federados | La configuración de dominio federado malintencionada es una amenaza común, que los atacantes usan como puerta trasera de autenticación para el inquilino de Entra ID. Verificar los dominios federados existentes y recientemente agregados es fundamental para garantizar que las configuraciones sean confiables y legítimas. Este indicador de exposición ofrece una lista completa de dominios federados y sus atributos pertinentes para ayudarlo a tomar decisiones informadas sobre el estado de seguridad. | LOW | |
| Grupo público de M365 | Los grupos de Microsoft 365 almacenados en Entra ID son públicos o privados. Los grupos públicos representan un riesgo de seguridad porque cualquier usuario dentro del inquilino puede unirse a ellos y acceder a sus datos (chats o archivos de Teams, correos electrónicos, etc.). | MEDIUM | |
| Funcionalidad Pase de acceso temporal habilitada | La funcionalidad Pase de acceso temporal (TAP) es un método de autenticación temporal que utiliza un código de acceso de uso limitado o de tiempo limitado. Si bien es una funcionalidad legítima, es más seguro deshabilitarla para reducir la superficie de ataque si su organización no la requiere. | LOW | |
| Dominio sin verificar | Debe confirmar la titularidad de todos los dominios personalizados en Entra ID. Mantenga los dominios sin verificar solo temporalmente: debe verificarlos o quitarlos para mantener una lista de dominios prolija y permitir que las revisiones sean eficientes. | LOW | |
| Entidad de servicio propia con credenciales | Las entidades de servicio propias tienen permisos potentes, pero se pasan por alto por estar ocultas, pertenecer a Microsoft y ser numerosas. Los atacantes agregan credenciales a estas entidades para aprovechar sigilosamente sus privilegios con el fin de escalamiento de privilegios y persistencia. | HIGH |