Sprache:
Dynamische Gruppen in Microsoft Entra ID sind ein leistungsstarkes Feature, für das eine P1-Lizenz oder höher erforderlich ist. Diese Gruppen aktualisieren ihre Mitgliedschaft automatisch auf der Grundlage von spezifischen Regeln, die an Benutzerattribute gebunden sind. Wenn die Regeln jedoch auf Attributen basieren, die Benutzer selbst ändern können, werden sie anfällig für Ausnutzung.
Ein Angreifer, der das in der Regel einer dynamischen Gruppe verwendete Attribut ändern kann, kann deren Mitgliedschaft manipulieren. Diese Fehlkonfiguration kann zu nicht autorisiertem Zugriff oder einer Rechteausweitung führen, wenn die Gruppe Zugriff auf sensible Ressourcen gewährt.
Während viele Attribute in einem Mandanten nicht vom Benutzer geändert werden können, stellen Gastkonten eine Ausnahme dar. Ein von einem Angreifer kontrollierter Gastbenutzer mit Administratorrechten im Heimmandanten des Angreifers kann dort Attribute ändern und die Regel für dynamische Gruppen im Zielmandanten ausnutzen.
Dieses Problem, das erstmals um 2020 in Literatur zu Sicherheitsforschung und Penetrationstests aufgezeigt wurde, ist nach wie vor ein funktionsfähiger Angriffsvektor in falsch konfigurierten Umgebungen. Seit Ende 2024 enthält das Angriffstool AADInternals eine Funktion zur Identifizierung ausnutzbarer Gruppen.
Mögliches Angriffsszenario:
displayName
verwenden, die bestimmte Schlüsselwörter enthalten (z. B. „admin“).Das Risiko und der daraus resultierende Schweregrad hängen von folgenden Faktoren ab:
Dynamische Gruppen vereinfachen Verwaltungsaufgaben, müssen jedoch sorgfältig konfiguriert werden, um Missbrauch zu verhindern. Indem Administratoren diese Risiken behandeln, können sie dafür sorgen, dass dynamische Gruppen innerhalb der Entra ID-Verwaltung sicher und effizient bleiben.
Die unmittelbarste Behebungsmaßnahme besteht darin, benutzergesteuerte Attribute in Regeln zu vermeiden: Legen Sie Regeln für dynamische Gruppenmitgliedschaften keine Attribute zugrunde, die Benutzer, insbesondere Gäste, direkt ändern können. Allerdings werden dadurch der Nutzen und die Flexibilität des Features erheblich eingeschränkt.
Wie beschrieben, besteht die einfachste Ausnutzungsmethode darin, einen bösartigen Gast einzuladen. Zur Risikominderung können Sie Richtlinien konfigurieren, die Gasteinladungen auf eine vertrauenswürdige Gruppe von Benutzern beschränken. Dies kann zwar die Zusammenarbeit beeinträchtigen, verringert jedoch das Risiko eines bösartigen Gastzugriffs erheblich.
Alternativ können Sie diese gefährlichen Gäste ausschließen, wenn sie keine Mitglieder der dynamischen Gruppe sein sollen. Fügen Sie im Regeleditor eine „And“-Regel zur Eigenschaft userType`` mit dem Operator
Not Equalsfür den Wert
Guest hinzu. Dadurch wird folgende Regel generiert: and (user.userType -ne "Guest")
. Beachten Sie, dass dies keinen Schutz vor bösartigen „externen Mitgliedern“ bietet.
Ein interner Benutzer mit der Möglichkeit, Benutzerattribute zu bearbeiten (z. B. durch Berechtigungen, die von einer Entra-Rolle gewährt werden) kann dies ebenfalls ausnutzen und so zusätzliche Angriffspfade schaffen. Überprüfen Sie daher sorgfältig die Entra-Rollen, die solche Berechtigungen gewähren.
Interne Benutzer sowie weniger vertrauenswürdige Gäste können ausnutzbare Gruppen leicht ausfindig machen. Zur Risikominderung können Sie die Sichtbarkeit von Gruppen und ihrer Regeln für Gäste reduzieren. Siehe die Empfehlungen in den zugehörigen Indicators of Exposure „Uneingeschränkte Gastkonten” und „Gastkonten mit gleichem Zugriff wie normale Konten”. Beachten Sie, dass dies interne Benutzer nicht an der Ausnutzung der Gruppen hindert, da sie trotzdem Zielgruppen identifizieren können.
Ergänzend können Sie Änderungen der Mitgliedschaft von dynamischen Gruppen regelmäßig überwachen, um potenzielle Ausnutzung zu identifizieren und zu beheben. Sie können dies in Echtzeit mithilfe des Entra-Audit-Protokolls tun oder in den Eigenschaften der dynamischen Gruppe die Option „Verarbeitung pausieren“ wählen und die Verarbeitung erst dann wieder aktivieren, wenn Sie bereit sind, die Mitglieder vor und nach der Änderung zu vergleichen.
Schließlich können Sie die identifizierte Gruppe ausschließen, wenn Sie das Risiko akzeptieren, entweder weil Sie das Risiko für gering halten – aufgrund einer minimalen Wahrscheinlichkeit einer Entdeckung oder Ausnutzung – oder weil die Mitgliedschaft in der Gruppe keinen Zugriff auf sensible Ressourcen gewährt.
Name: Dynamische Gruppe mit ausnutzbarer Regel
Codename: DYNAMIC-GROUP-FEATURING-AN-EXPLOITABLE-RULE
Schweregrad: Medium
Typ: Microsoft Entra ID Indicator of Exposure