Gefährliche Anwendungsberechtigungen mit Auswirkungen auf Daten

Microsoft macht APIs über Anwendungen in Microsoft Entra ID verfügbar, um Drittanbieter-Anwendungen die Ausführung von Aktionen für Microsoft Entra ID selbst, Microsoft 365 (O365) und Dienste wie SharePoint Online und Exchange Online zu erlauben. „API-Berechtigungen“ schützen den Zugriff auf diese APIs und sollten nur für Dienstprinzipale verfügbar sein, die diese APIs benötigen. Die Genehmigung der Berechtigungen wird als „Anwendungsrollenzuweisung“ oder „Einwilligungserteilung“ („consent grant“) bezeichnet.

Bestimmte Berechtigungen für einige Microsoft-APIs können eine Bedrohung für die sensiblen Daten in der Umgebung darstellen, weil ein Dienstprinzipal mit diesen Berechtigungen auf potentielle sensible Informationen zugreifen kann, zugleich jedoch diskreter ist als ein Benutzer mit einer umfassenden Administratorrolle wie z. B. „Globaler Administrator“.

Wenn diese Berechtigungen legitim sind, erhöhen sie das Risiko einer Datenkompromittierung. Wenn sie nicht legitim sind, kann dies auf einen böswilligen Versuch hindeuten, auf sensible Daten wie E-Mails zuzugreifen und diese zu stehlen.

Es gibt zwei Arten von API-Berechtigungen in Microsoft Entra ID, wie in der Microsoft-Dokumentation Einführung in Berechtigungen und Einwilligung beschrieben:

• Anwendungsberechtigungen: Dieser Indicator of Exposure untersucht diesen ersten Berechtigungstyp, siehe den zugehörigen Indicator of Exposure „Gefährliche Anwendungsberechtigungen mit Auswirkungen auf den Mandaten“ für Bedrohungen für den gesamten Microsoft Entra-Mandanten. Die Einwilligung wird von Administratoren erteilt und die Berechtigungen gelten mandantenweit. Microsoft beschreibt sie wie folgt:

Anwendungsberechtigungen werden von Anwendungen verwendet, die ohne einen angemeldeten Benutzer ausgeführt werden. Beispielsweise Apps, die als Hintergrunddienste oder Daemons ausgeführt werden. Für Anwendungsberechtigungen ist immer die Einwilligung eines Administrators erforderlich.

• Delegierte Berechtigungen: siehe den zugehörigen Indicator of Exposure „Gefährliche delegierte Berechtigungen mit Auswirkungen auf Daten”.

Dieser Indicator of Exposure (IoE) gibt nur Auskunft über Dienstprinzipale, da API-Berechtigungen nur für Dienstprinzipale gelten, nicht jedoch für Benutzer.

Dieser IoE verfolgt eine Liste sensibler Berechtigungen, von denen die meisten selbsterklärend sind. Die folgenden Berechtigungen erfordern jedoch weitere Erläuterungen:

• Group.Read.All (wird von der Microsoft Graph-API und [Office 365 Exchange Online] bereitgestellt(https://learn.microsoft.com/de-de/exchange/permissions-exo/permissions-exo)): Diese Berechtigung ist überraschend riskant, da sie es ermöglicht, sogar den Inhalt der M365-Gruppe „Kalender, Unterhaltungen, Dateien und andere Gruppeninhalte“ zu lesen. Berücksichtigen Sie die Auswirkungen auf M365-Gruppen, die von Microsoft Teams verwendet werden.

Legitime Anwendungen mit diesen sensiblen Berechtigungen fordern Zugriff an, der zu umfassend sein könnte. Dies kann auch ein Hinweis auf einen als „illegale Einwilligungserteilung“ bezeichneten Phishing-Angriff sein, bei dem Angreifer erfolgreich die Einwilligung eines Administrators einholen.

Deaktivierte Dienstprinzipale werden von diesem IoE standardmäßig ignoriert, da sie von Angreifern nicht direkt verwendet werden können.

Externe Referenzen:

• Cloudbrothers – Azure-Angriffspfade
• Microsoft – Missbrauch der Exchange Web Server-API
• Microsoft – Bedrohungsakteure missbrauchen OAuth-Anwendungen, um finanziell motivierte Angriffe zu automatisieren

Ermitteln Sie als Erstes, ob der gemeldete Dienstprinzipal mit der Berechtigung legitim ist. Denken Sie daran, dass es technisch möglich ist, den Anzeigenamen in einem Phishing-Angriff zu spoofen. Wenn der Dienstprinzipal zu einem bekannten Softwareanbieter zu gehören scheint, bitten Sie diesen zu bestätigen, dass die gemeldete Anwendungs-ID wirklich ihm gehört. Wenn der Dienstprinzipal nicht legitim ist und einen bekannten Anwendungsnamen spooft, sollten Sie eine forensische Analyse durchführen.

• Wenn der Dienstprinzipal legitim ist:

  • Ermitteln Sie seinen Besitzer und seine Rolle, um festzustellen, ob er diese sensiblen Berechtigungen tatsächlich benötigt.
    • Wenn es sich um eine interne Anwendung handelt, evaluieren Sie ihre Funktionen und verringern Sie die Berechtigungen unter Anwendung des Prinzips der geringsten Berechtigungen, wie im Abschnitt Zustimmung und Autorisierung der Dokumentation zu Microsoft Graph-API beschrieben. In dieser Empfehlung werden die für die einzelnen APIs erforderlichen Mindestberechtigungen angegeben.
    • Im Fall einer Drittanbieter-Anwendung überprüfen Sie, ob der Datenzugriff für diese Anwendung angemessen ist (gleicher Perimeter). Andernfalls fordern Sie den Anbieter auf, den Grund für die Notwendigkeit dieser Berechtigungen zu dokumentieren und anzugeben, ob sie sicher entfernt werden können.
  • Wenn Sie über die erforderlichen Premium-Lizenzen für Workloadidentitäten verfügen, können Sie als Defense-in-Depth-Maßnahme die Verwendung von bedingtem Zugriff für Workloadidentitäten in Betracht ziehen. Auf diese Weise können Sie Dienstprinzipale mit hohem Risiko auf bekannte vertrauenswürdige Standorte beschränken und den Zugriff auf der Grundlage von riskanten Anmeldungen einschränken.
• • Anwendungsberechtigungen* erfordern immer die Einwilligung eines Administrators. Schulen Sie diese Administratoren darin, verdächtige Anwendungen und sensible Berechtigungen, insbesondere datenbezogene Anwendungsberechtigungen, zu identifizieren. Dies muss im Rahmen einer umfassenden Anwendungs-Governance-Initiative erfolgen.

• Entfernen Sie eine Berechtigung, wenn Sie sie für nicht legitim halten. Tenable empfiehlt, zunächst Beweise zu speichern, wenn Sie eine umfassendere forensische Untersuchung planen. Das Microsoft Entra-Portal bietet eine dedizierte Funktion, um Berechtigungen zu überprüfen, die Unternehmensanwendungen erteilt wurden.

Microsoft hat außerdem zwei Leitfäden veröffentlicht, in denen die Durchführung einer Untersuchung der Zuweisung der App-Einwilligung und die Vorgehensweise zum Erkennen und Korrigieren illegaler Einwilligungserteilungen beschrieben werden.

Achten Sie darauf, die gefährliche Berechtigung vom Dienstprinzipal (zu finden im Menü „Unternehmensanwendungen” des Portals) und nicht von der Anwendung (zu finden im Menü „App-Registrierungen”) zu entfernen. Wenn Sie die Berechtigung von der Anwendung entfernen, wird nur die Berechtigungsanforderung gelöscht. Die eigentliche Berechtigungszuweisung ist von dem Vorgang nicht betroffen.

Schließlich sollten Sie Graph-API-Aktivitätsprotokolle aktivieren, um detaillierte Informationen zu Graph-API-Ereignissen zu erfassen. Dies hilft Ihrem SOC oder SIEM, verdächtige Aktivitäten zu identifizieren oder, im Falle eines Angriffs, forensische Untersuchungen durchzuführen. Überwachen Sie außerdem Anmeldungen von Dienstprinzipalen und konfigurieren Sie Warnungen für verdächtiges Verhalten, insbesondere für die hier genannten Dienstprinzipale mit hohem Risiko.

Name: Gefährliche Anwendungsberechtigungen mit Auswirkungen auf Daten

Codename: DANGEROUS-APPLICATION-PERMISSIONS-AFFECTING-DATA

Schweregrad: Medium

Typ: Microsoft Entra ID Indicator of Exposure