Dynamische Gruppe mit ausnutzbarer Regel

Dynamische Gruppen in Microsoft Entra ID sind ein leistungsstarkes Feature, für das eine P1-Lizenz oder höher erforderlich ist. Diese Gruppen aktualisieren ihre Mitgliedschaft automatisch auf der Grundlage von spezifischen Regeln, die an Benutzerattribute gebunden sind. Wenn die Regeln jedoch auf Attributen basieren, die Benutzer selbst ändern können, werden sie anfällig für Ausnutzung.

Ein Angreifer, der das in der Regel einer dynamischen Gruppe verwendete Attribut ändern kann, kann deren Mitgliedschaft manipulieren. Diese Fehlkonfiguration kann zu nicht autorisiertem Zugriff oder einer Rechteausweitung führen, wenn die Gruppe Zugriff auf sensible Ressourcen gewährt.

Während viele Attribute in einem Mandanten nicht vom Benutzer geändert werden können, stellen Gastkonten eine Ausnahme dar. Ein von einem Angreifer kontrollierter Gastbenutzer mit Administratorrechten im Heimmandanten des Angreifers kann dort Attribute ändern und die Regel für dynamische Gruppen im Zielmandanten ausnutzen.

Dieses Problem, das erstmals um 2020 in Literatur zu Sicherheitsforschung und Penetrationstests aufgezeigt wurde, ist nach wie vor ein funktionsfähiger Angriffsvektor in falsch konfigurierten Umgebungen. Seit Ende 2024 enthält das Angriffstool AADInternals eine Funktion zur Identifizierung ausnutzbarer Gruppen.

Mögliches Angriffsszenario:

1. Auskundschaftung: Angreifer verschaffen sich als Standardbenutzer ohne privilegierte Rollen Zugriff auf einen Mandanten. Standardmäßig können sie Gruppen aufzählen und Regeln für dynamische Gruppen anzeigen.
2. Zielauswahl: Angreifer identifizieren dynamische Gruppen mit sensiblen Berechtigungen, wie z. B. privilegierten Azure-Rollen für Subscriptions. Sie zielen auf Regeln ab, die ausnutzbare Attribute wie displayName verwenden, die bestimmte Schlüsselwörter enthalten (z. B. „admin“).
3. Bösartige Vorbereitung: Angreifer erstellen einen Benutzer in ihrem eigenen Entra-Mandanten, dessen Attribute den Mitgliedschaftsregeln der Zielgruppe entsprechen.
4. Gasteinladung: Angreifer laden diesen bösartigen Benutzer als Gast in den Zielmandanten ein.
5. Regelausnutzung: Wenn der bösartige Gast die Einladung annimmt, wird sein Konto im Zielmandanten erstellt und die Mitgliedschaftsregeln der dynamischen Gruppe verarbeiten seine Attribute.
6. Eskalation: Der bösartige Gast tritt innerhalb von Minuten nach Kontoerstellung automatisch der dynamischen Gruppe bei und erbt ihre Berechtigungen (z. B. privilegierte Azure-Subscription-Rollen).

Das Risiko und der daraus resultierende Schweregrad hängen von folgenden Faktoren ab:

• Einstellungen für Gastzugriff: Schwache Einschränkungen für Gäste erhöhen die Erfolgsaussichten des Angriffs. Das Risiko steigt, wenn Gäste eingeladen und Gruppenregeln eingesehen werden können (siehe die zugehörigen Indicators of Exposure „Uneingeschränkte Gastkonten” und „Gastkonten mit gleichem Zugriff wie normale Konten”).
• Umfang des Gruppenzugriffs: Der Schweregrad der Ausnutzung hängt von den Ressourcen ab, die die Gruppe kontrolliert. Dazu kann Folgendes gehören:
  • Microsoft 365-Dienste (Teams-Kanäle, SharePoint-Websites, Exchange-Posteingänge)
  • Azure-Cloud-Ressourcen
  • Andere integrierte Anwendungen

Dynamische Gruppen vereinfachen Verwaltungsaufgaben, müssen jedoch sorgfältig konfiguriert werden, um Missbrauch zu verhindern. Indem Administratoren diese Risiken behandeln, können sie dafür sorgen, dass dynamische Gruppen innerhalb der Entra ID-Verwaltung sicher und effizient bleiben.

Die unmittelbarste Behebungsmaßnahme besteht darin, benutzergesteuerte Attribute in Regeln zu vermeiden: Legen Sie Regeln für dynamische Gruppenmitgliedschaften keine Attribute zugrunde, die Benutzer, insbesondere Gäste, direkt ändern können. Allerdings werden dadurch der Nutzen und die Flexibilität des Features erheblich eingeschränkt.

Wie beschrieben, besteht die einfachste Ausnutzungsmethode darin, einen bösartigen Gast einzuladen. Zur Risikominderung können Sie Richtlinien konfigurieren, die Gasteinladungen auf eine vertrauenswürdige Gruppe von Benutzern beschränken. Dies kann zwar die Zusammenarbeit beeinträchtigen, verringert jedoch das Risiko eines bösartigen Gastzugriffs erheblich. Alternativ können Sie diese gefährlichen Gäste ausschließen, wenn sie keine Mitglieder der dynamischen Gruppe sein sollen. Fügen Sie im Regeleditor eine „And“-Regel zur Eigenschaft userType`` mit dem Operator Not Equalsfür den WertGuest hinzu. Dadurch wird folgende Regel generiert: and (user.userType -ne "Guest"). Beachten Sie, dass dies keinen Schutz vor bösartigen „externen Mitgliedern“ bietet.

Ein interner Benutzer mit der Möglichkeit, Benutzerattribute zu bearbeiten (z. B. durch Berechtigungen, die von einer Entra-Rolle gewährt werden) kann dies ebenfalls ausnutzen und so zusätzliche Angriffspfade schaffen. Überprüfen Sie daher sorgfältig die Entra-Rollen, die solche Berechtigungen gewähren.

Interne Benutzer sowie weniger vertrauenswürdige Gäste können ausnutzbare Gruppen leicht ausfindig machen. Zur Risikominderung können Sie die Sichtbarkeit von Gruppen und ihrer Regeln für Gäste reduzieren. Siehe die Empfehlungen in den zugehörigen Indicators of Exposure „Uneingeschränkte Gastkonten” und „Gastkonten mit gleichem Zugriff wie normale Konten”. Beachten Sie, dass dies interne Benutzer nicht an der Ausnutzung der Gruppen hindert, da sie trotzdem Zielgruppen identifizieren können.

Ergänzend können Sie Änderungen der Mitgliedschaft von dynamischen Gruppen regelmäßig überwachen, um potenzielle Ausnutzung zu identifizieren und zu beheben. Sie können dies in Echtzeit mithilfe des Entra-Audit-Protokolls tun oder in den Eigenschaften der dynamischen Gruppe die Option „Verarbeitung pausieren“ wählen und die Verarbeitung erst dann wieder aktivieren, wenn Sie bereit sind, die Mitglieder vor und nach der Änderung zu vergleichen.

Schließlich können Sie die identifizierte Gruppe ausschließen, wenn Sie das Risiko akzeptieren, entweder weil Sie das Risiko für gering halten – aufgrund einer minimalen Wahrscheinlichkeit einer Entdeckung oder Ausnutzung – oder weil die Mitgliedschaft in der Gruppe keinen Zugriff auf sensible Ressourcen gewährt.

Name: Dynamische Gruppe mit ausnutzbarer Regel

Codename: DYNAMIC-GROUP-FEATURING-AN-EXPLOITABLE-RULE

Schweregrad: Medium

Typ: Microsoft Entra ID Indicator of Exposure