Gefährliche delegierte Berechtigungen mit Auswirkungen auf Daten

Microsoft macht APIs über Anwendungen in Microsoft Entra ID verfügbar, um Drittanbieter-Anwendungen die Ausführung von Aktionen für Microsoft Entra ID selbst, Microsoft 365 (O365) und Dienste wie SharePoint Online und Exchange Online zu erlauben. „API-Berechtigungen“ schützen den Zugriff auf diese APIs und sollten nur für Dienstprinzipale verfügbar sein, die diese APIs benötigen. Die Genehmigung der Berechtigungen wird als „Anwendungsrollenzuweisung“ oder „Einwilligungserteilung“ („consent grant“) bezeichnet.

Bestimmte Berechtigungen für einige Microsoft-APIs können eine Bedrohung für die sensiblen Daten in der Umgebung darstellen, weil ein Dienstprinzipal mit diesen Berechtigungen auf potentielle sensible Informationen zugreifen kann, zugleich jedoch diskreter ist als ein Benutzer mit einer umfassenden Administratorrolle wie z. B. „Globaler Administrator“.

Wenn diese Berechtigungen legitim sind, erhöhen sie das Risiko einer Datenkompromittierung. Wenn sie nicht legitim sind, kann dies auf einen böswilligen Versuch hindeuten, sensible Daten wie E-Mails und Projekte aufzurufen und zu stehlen.

Es gibt zwei Arten von API-Berechtigungen in Microsoft Entra ID, wie in der Microsoft-Dokumentation Einführung in Berechtigungen und Einwilligung beschrieben:

• Anwendungsberechtigungen: Siehe den zugehörigen Indicator of Exposure „Gefährliche Anwendungsberechtigungen mit Auswirkungen auf Daten“.
• Delegierte Berechtigungen: Dieser Indicator of Exposure untersucht diesen zweiten Berechtigungstyp, siehe den zugehörigen Indicator of Exposure „Gefährliche delegierte Berechtigungen mit Auswirkungen auf den Mandanten” für Bedrohungen für den gesamten Microsoft Entra-Mandanten Die Einwilligung kommt von Benutzern oder Administratoren im Namen der gesamten Organisation. Beachten Sie, dass diese Berechtigungen die Fähigkeit der Anwendung einschränken, Aktionen auf Basis der Rechte des angemeldeten Benutzers durchzuführen (d. h. Schnittpunkt der Berechtigung und der Rechteebene des Benutzers). Wie gefährlich diese delegierten Berechtigungen sind, hängt daher von den tatsächlichen Berechtigungen des Anwendungsbenutzers ab, wie im Artikel Entwickeln einer Strategie für delegierte Berechtigungen beschrieben. Beispiel: Wenn ein normaler Benutzer die Berechtigung „Group.ReadWrite.All“ delegiert, erlaubt er damit der Anwendung, nur die Gruppen zu ändern, die der Benutzer bearbeiten kann, und nicht alle Gruppen. Microsoft beschreibt diese Berechtigungen wie folgt:

Delegierte Berechtigungen werden von Apps verwendet, bei denen ein angemeldeter Benutzer vorhanden ist und deren Einwilligung vom Administrator oder Benutzer angewendet werden kann.

Dieser Indicator of Exposure (IoE) gibt nur Auskunft über Dienstprinzipale, da API-Berechtigungen nur für Dienstprinzipale gelten, nicht jedoch für Benutzer.

Dieser IoE verfolgt eine Liste sensibler Berechtigungen, von denen die meisten selbsterklärend sind. Die folgenden Berechtigungen erfordern jedoch weitere Erläuterungen:

• Group.Read.All (wird von der Microsoft Graph-API und [Office 365 Exchange Online] bereitgestellt(https://learn.microsoft.com/de-de/exchange/permissions-exo/permissions-exo)): Diese Berechtigung ist überraschend riskant, da sie es ermöglicht, sogar den Inhalt der M365-Gruppe „Kalender, Unterhaltungen, Dateien und andere Gruppeninhalte“ zu lesen. Berücksichtigen Sie die Auswirkungen auf M365-Gruppen, die von Microsoft Teams verwendet werden.

Legitime Anwendungen mit diesen sensiblen Berechtigungen fordern Zugriff an, der zu umfassend sein könnte. Dies kann auch ein Hinweis auf einen als „illegale Einwilligungserteilung“ bezeichneten Phishing-Angriff sein, bei dem Angreifer erfolgreich die Einwilligung eines Administrators einholen.

Deaktivierte Dienstprinzipale werden von diesem IoE standardmäßig ignoriert, da sie von Angreifern nicht direkt verwendet werden können.

Externe Referenzen:

• Cloudbrothers – Azure-Angriffspfade
• Microsoft – Missbrauch der Exchange Web Server-API
• Microsoft – Bedrohungsakteure missbrauchen OAuth-Anwendungen, um finanziell motivierte Angriffe zu automatisieren

Ermitteln Sie als Erstes, ob der gemeldete Dienstprinzipal mit der Berechtigung legitim ist. Denken Sie daran, dass es technisch möglich ist, den Anzeigenamen in einem Phishing-Angriff zu spoofen. Wenn der Dienstprinzipal zu einem bekannten Softwareanbieter zu gehören scheint, bitten Sie diesen zu bestätigen, dass die gemeldete Anwendungs-ID wirklich ihm gehört. Wenn der Dienstprinzipal nicht legitim ist und einen bekannten Anwendungsnamen spooft, sollten Sie eine forensische Analyse durchführen.

• Wenn der Dienstprinzipal legitim ist:

  • Ermitteln Sie seinen Besitzer und seine Rolle, um festzustellen, ob er diese sensiblen Berechtigungen tatsächlich benötigt.
    • Wenn es sich um eine interne Anwendung handelt, evaluieren Sie ihre Funktionen und verringern Sie die Berechtigungen unter Anwendung des Prinzips der geringsten Berechtigungen, wie im Abschnitt Zustimmung und Autorisierung der Dokumentation zu Microsoft Graph-API beschrieben. In dieser Empfehlung werden die für die einzelnen APIs erforderlichen Mindestberechtigungen angegeben.
    • Im Fall einer Drittanbieter-Anwendung überprüfen Sie, ob der Datenzugriff für diese Anwendung angemessen ist (gleicher Perimeter). Andernfalls fordern Sie den Anbieter auf, den Grund für die Notwendigkeit dieser Berechtigungen zu dokumentieren und anzugeben, ob sie sicher entfernt werden können.
  • Wenn Sie über die erforderlichen Premium-Lizenzen für Workloadidentitäten verfügen, können Sie als Defense-in-Depth-Maßnahme die Verwendung von bedingtem Zugriff für Workloadidentitäten in Betracht ziehen. Auf diese Weise können Sie Dienstprinzipale mit hohem Risiko auf bekannte vertrauenswürdige Standorte beschränken und den Zugriff auf der Grundlage von riskanten Anmeldungen einschränken.

• Standardmäßig können alle Benutzer Berechtigungen an jede Anwendung delegieren, was es ihnen ermöglicht, sensible Sicherheitsentscheidungen zu treffen. Siehe den entsprechenden Indicator of Exposure „Uneingeschränkte Benutzereinwilligung für Anwendungen“. Microsoft Entra ID bietet Optionen, die Sie aktivieren können, um die Benutzereinwilligung zu konfigurieren. Wenn Sie Einschränkungen aktivieren, müssen Microsoft Entra-Administratoren mit bestimmten Rollen die Einwilligung zu Anwendungen verwalten und Einwilligungsanforderungen beurteilen. Siehe auch die Vorgehensweise zum Überprüfen von Anforderungen zur Administratoreinwilligung.

• Schulen Sie Administratoren in der Identifizierung verdächtiger Anwendungen und sensibler Berechtigungen, einschließlich delegierter Berechtigungen von privilegierten oder sensiblen Benutzern. Dies muss im Rahmen einer umfassenden Anwendungs-Governance-Initiative erfolgen.

• Entfernen Sie eine Berechtigung, wenn Sie sie für nicht legitim halten. Tenable empfiehlt, zunächst Beweise zu speichern, wenn Sie eine umfassendere forensische Untersuchung planen. Bitte folgen Sie den Empfehlungen von Microsoft, um die für Unternehmensanwendungen gewährten Berechtigungen zu überprüfen. Leider ist diese Funktionalität nicht im Microsoft Entra-Verwaltungsportal verfügbar:

Sie können Berechtigungen auf der Registerkarte „Benutzereinwilligung“ über das Microsoft Entra-Verwaltungsportal nicht widerrufen. Sie können diese Berechtigungen jedoch über Microsoft Graph-API-Aufrufe oder PowerShell-Cmdlets widerrufen. Weitere Informationen finden Sie in den Abschnitten zu PowerShell und Microsoft Graph in diesem Artikel.

Microsoft hat außerdem zwei Leitfäden veröffentlicht, in denen die Durchführung einer Untersuchung der Zuweisung der App-Einwilligung und die Vorgehensweise zum Erkennen und Korrigieren illegaler Einwilligungserteilungen beschrieben werden.

Achten Sie darauf, die sensible Berechtigung vom Dienstprinzipal (zu finden im Menü „Unternehmensanwendungen” des Portals) und nicht von der Anwendung (zu finden im Menü „App-Registrierungen”) zu entfernen. Wenn Sie die Berechtigung von der Anwendung entfernen, wird nur die Berechtigungsanforderung gelöscht. Die eigentliche Berechtigungszuweisung ist von dem Vorgang nicht betroffen.

Schließlich sollten Sie Graph-API-Aktivitätsprotokolle aktivieren, um detaillierte Informationen zu Graph-API-Ereignissen zu erfassen. Dies hilft Ihrem SOC oder SIEM, verdächtige Aktivitäten zu identifizieren oder, im Falle eines Angriffs, forensische Untersuchungen durchzuführen. Überwachen Sie außerdem Anmeldungen von Dienstprinzipalen und konfigurieren Sie Warnungen für verdächtiges Verhalten, insbesondere für die hier genannten sensiblen Dienstprinzipale.

Name: Gefährliche delegierte Berechtigungen mit Auswirkungen auf Daten

Codename: DANGEROUS-DELEGATED-PERMISSIONS-AFFECTING-DATA

Schweregrad: Medium

Typ: Microsoft Entra ID Indicator of Exposure