Detectar y corregir las concesiones ilegales de consentimientoDetect and Remediate Illicit Consent Grants

Importante

El Centro de seguridad de Microsoft 365 mejorado está ahora disponible.The improved Microsoft 365 security center is now available. Esta nueva experiencia incluye Defender para punto de conexión, Defender para Office 365, Microsoft 365 Defender y más en el Centro de seguridad de Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Ver las novedades.Learn what's new.

Se aplica aApplies to

Resumen Obtenga información sobre cómo reconocer y corregir el ataque de concesión de consentimientos ilícitos en Office 365.Summary Learn how to recognize and remediate the illicit consent grants attack in Office 365.

En un ataque de concesión de consentimiento ilegal, el atacante crea una aplicación registrada en Azure que solicita acceso a datos como información de contacto, correo electrónico o documentos.In an illicit consent grant attack, the attacker creates an Azure-registered application that requests access to data such as contact information, email, or documents. A continuación, el atacante hace un truco al usuario final para conceder a esa aplicación el consentimiento para acceder a sus datos a través de un ataque de suplantación de identidad (phishing) o mediante la inyección de código ilícito en un sitio web de confianza.The attacker then tricks an end user into granting that application consent to access their data either through a phishing attack, or by injecting illicit code into a trusted website. Una vez que se ha concedido el consentimiento a la aplicación ilícita, tiene acceso a los datos a nivel de cuenta sin necesidad de una cuenta organizativa.After the illicit application has been granted consent, it has account-level access to data without the need for an organizational account. Los pasos normales de corrección, como restablecer contraseñas para cuentas vulneradas o requerir autenticación multifactor (MFA) en las cuentas, no son efectivos contra este tipo de ataque, ya que son aplicaciones de terceros y son externas a la organización.Normal remediation steps, like resetting passwords for breached accounts or requiring Multi-Factor Authentication (MFA) on accounts, are not effective against this type of attack, since these are third-party applications and are external to the organization.

Estos ataques aprovechan un modelo de interacción que supone que la entidad que llama a la información es la automatización y no un ser humano.These attacks leverage an interaction model which presumes the entity that is calling the information is automation and not a human.

Importante

¿Sospecha que está experimentando problemas con las concesiones de consentimiento ilegales de una aplicación en este momento?Do you suspect you're experiencing problems with illicit consent-grants from an app, right now? Microsoft Cloud App Security (MCAS) tiene herramientas para detectar, investigar y corregir las aplicaciones de OAuth.Microsoft Cloud App Security (MCAS) has tools to detect, investigate, and remediate your OAuth apps. Este artículo de MCAS tiene un tutorial que describe cómo investigar aplicaciones de OAuth arriesgadas.This MCAS article has a tutorial that outlines how to go about investigating risky OAuth apps. También puedes establecer directivas de aplicación de OAuth para investigar los permisos solicitados por la aplicación, qué usuarios autorizan estas aplicaciones y aprobar o prohibir ampliamente estas solicitudes de permisos.You can also set OAuth app policies to investigate app-requested permissions, which users are authorizing these apps, and widely approve or ban these permissions requests.

Debe buscar en el registro de auditoría para encontrar signos, también denominados Indicadores de compromiso (IOC) de este ataque.You need to search the audit log to find signs, also called Indicators of Compromise (IOC) of this attack. Para las organizaciones con muchas aplicaciones registradas en Azure y una gran base de usuarios, el procedimiento recomendado es revisar las concesiones de consentimiento de las organizaciones cada semana.For organizations with many Azure-registered applications and a large user base, the best practice is to review your organizations consent grants on a weekly basis.

Pasos para encontrar signos de este ataqueSteps for finding signs of this attack

  1. Abra el Centro de seguridad & cumplimiento en https://protection.office.com .Open the Security & Compliance Center at https://protection.office.com.

  2. Vaya a Buscar y seleccione Búsqueda de registro de auditoría.Navigate to Search and select Audit log search.

  3. Busque (todas las actividades y todos los usuarios) y escriba la fecha de inicio y la fecha de finalización si es necesario y, a continuación, haga clic en Buscar.Search (all activities and all users) and enter the start date and end date if required and then click Search.

  4. Haga clic en Filtrar resultados y escriba Consentimiento para la aplicación en el campo Actividad.Click Filter results and enter Consent to application in the Activity field.

  5. Haga clic en el resultado para ver los detalles de la actividad.Click on the result to see the details of the activity. Haga clic en Más información para obtener detalles de la actividad.Click More Information to get details of the activity. Compruebe si IsAdminContent está establecido en True.Check to see if IsAdminContent is set to True.

Nota

La entrada del registro de auditoría correspondiente puede tardar entre 30 minutos y 24 horas en mostrarse en los resultados de búsqueda después de que se produzca un evento.It can take from 30 minutes up to 24 hours for the corresponding audit log entry to be displayed in the search results after an event occurs.

El tiempo durante el que se conserva y se puede buscar un registro de auditoría en el registro de auditoría depende de la suscripción de Microsoft 365 y, específicamente, del tipo de licencia asignada a un usuario específico.The length of time that an audit record is retained and searchable in the audit log depends on your Microsoft 365 subscription, and specifically the type of the license that is assigned to a specific user. Para obtener más información, vea Registro de auditoría.For more information, see Audit log.

Si este valor es true, indica que alguien con acceso de administrador global puede haber concedido un amplio acceso a los datos.If this value is true, it indicates that someone with Global Administrator access may have granted broad access to data. Si esto es inesperado, siga los pasos necesarios para confirmar un ataque.If this is unexpected, take steps to confirm an attack.

Cómo confirmar un ataqueHow to confirm an attack

Si tiene una o más instancias de los IIC enumerados anteriormente, debe realizar una investigación adicional para confirmar positivamente que se produjo el ataque.If you have one or more instances of the IOCs listed above, you need to do further investigation to positively confirm that the attack occurred. Puedes usar cualquiera de estos tres métodos para confirmar el ataque:You can use any of these three methods to confirm the attack:

  • Aplicaciones de inventario y sus permisos mediante el portal de Azure Active Directory.Inventory applications and their permissions using the Azure Active Directory portal. Este método es exhaustivo, pero solo puede comprobar un usuario a la vez, lo que puede llevar mucho tiempo si tiene muchos usuarios que comprobar.This method is thorough, but you can only check one user at a time which can be very time consuming if you have many users to check.

  • Aplicaciones de inventario y sus permisos con PowerShell.Inventory applications and their permissions using PowerShell. Este es el método más rápido y exhaustivo, con la menor cantidad de sobrecarga.This is the fastest and most thorough method, with the least amount of overhead.

  • Haga que los usuarios comprueben individualmente sus aplicaciones y permisos e informen los resultados a los administradores para que los solucionen.Have your users individually check their apps and permissions and report the results back to the administrators for remediation.

Inventario de aplicaciones con acceso en la organizaciónInventory apps with access in your organization

Puede hacerlo para los usuarios con el Portal de Azure Active Directory o PowerShell o hacer que los usuarios enumeren individualmente su acceso a la aplicación.You can do this for your users with either the Azure Active Directory Portal, or PowerShell or have your users individually enumerate their application access.

Pasos para usar Azure Active Directory PortalSteps for using the Azure Active Directory Portal

Puede buscar las aplicaciones a las que cualquier usuario individual ha concedido permisos mediante el Portal de Azure Active Directory.You can look up the applications to which any individual user has granted permissions by using the Azure Active Directory Portal.

  1. Inicie sesión en Azure Portal con derechos administrativos.Sign in to the Azure portal with administrative rights.

  2. Seleccione la hoja Azure Active Directory.Select the Azure Active Directory blade.

  3. Seleccione Usuarios.Select Users.

  4. Seleccione el usuario que desea revisar.Select the user that you want to review.

  5. Seleccione Aplicaciones.Select Applications.

Esto te mostrará las aplicaciones asignadas al usuario y los permisos que tienen las aplicaciones.This will show you the apps that are assigned to the user and what permissions the applications have.

Pasos para que los usuarios enumeren su acceso a la aplicaciónSteps for having your users enumerate their application access

Haga que los usuarios vayan y https://myapps.microsoft.com revisen su propio acceso a la aplicación allí.Have your users go to https://myapps.microsoft.com and review their own application access there. Deben poder ver todas las aplicaciones con acceso, ver detalles sobre ellas (incluido el ámbito de acceso) y poder revocar privilegios a aplicaciones sospechosas o ilícitas.They should be able to see all the apps with access, view details about them (including the scope of access), and be able to revoke privileges to suspicious or illicit apps.

Pasos para hacerlo con PowerShellSteps for doing this with PowerShell

La forma más sencilla de comprobar el ataque de concesión ilegal de consentimiento es ejecutar Get-AzureADPSPermissions.ps1, que volcará todas las concesiones de consentimiento de OAuth y las aplicaciones de OAuth para todos los usuarios del arrendamiento en un archivo .csv.The simplest way to verify the Illicit Consent Grant attack is to run Get-AzureADPSPermissions.ps1, which will dump all the OAuth consent grants and OAuth apps for all users in your tenancy into one .csv file.

Requisitos previosPre-requisites

  • La biblioteca de PowerShell de Azure AD instalada.The Azure AD PowerShell library installed.

  • Derechos de administrador global en el inquilino en el que se ejecutará el script.Global administrator rights on the tenant that the script will be run against.

  • Administrador local en el equipo desde el que se ejecutarán los scripts.Local Administrator on the computer from which will run the scripts.

Importante

Se recomienda encarecidamente que necesite autenticación multifactor en su cuenta administrativa.We highly recommend that you require multi-factor authentication on your administrative account. Este script admite la autenticación MFA.This script supports MFA authentication.

  1. Inicie sesión en el equipo desde el que ejecutará el script con derechos de administrador local.Sign in to the computer that you will run the script from with local administrator rights.

  2. Descargue o copie el script Get-AzureADPSPermissions.ps1 de GitHub en una carpeta desde la que ejecutará el script.Download or copy the Get-AzureADPSPermissions.ps1 script from GitHub to a folder from which you will run the script. Esta será la misma carpeta en la que se escribirá el archivo "permissions.csv" de salida.This will be the same folder to which the output "permissions.csv" file will be written.

  3. Abra una instancia de PowerShell como administrador y abra la carpeta en la que guardó el script.Open a PowerShell instance as an administrator and open to the folder you saved the script to.

  4. Conéctese al directorio mediante el cmdlet Connect-AzureAD.Connect to your directory using the Connect-AzureAD cmdlet.

  5. Ejecute este comando de PowerShell:Run this PowerShell command:

    .\Get-AzureADPSPermissions.ps1 | Export-csv -Path "Permissions.csv" -NoTypeInformation
    

El script genera un archivo denominado Permissions.csv.The script produces one file named Permissions.csv. Siga estos pasos para buscar concesiones de permisos de aplicación ilegales:Follow these steps to look for illicit application permission grants:

  1. En la columna ConsentType (columna G) busque el valor "AllPrinciples".In the ConsentType column (column G) search for the value "AllPrinciples". El permiso AllPrincipals permite a la aplicación cliente obtener acceso al contenido de todos los usuarios del arrendamiento.The AllPrincipals permission allows the client application to access everyone's content in the tenancy. Las aplicaciones nativas de Microsoft 365 necesitan este permiso para funcionar correctamente.Native Microsoft 365 applications need this permission to work correctly. Todas las aplicaciones que no sean de Microsoft con este permiso deben revisarse detenidamente.Every non-Microsoft application with this permission should be reviewed carefully.

  2. En la columna Permiso (columna F) revise los permisos que cada aplicación delegada tiene para el contenido.In the Permission column (column F) review the permissions that each delegated application has to content. Busque el permiso "Lectura" y "Escritura" o "*. All" permiso y revisar estos cuidadosamente porque puede que no sean adecuados.Look for "Read" and "Write" permission or "*.All" permission, and review these carefully because they may not be appropriate.

  3. Revise los usuarios específicos que tienen los consentimientos concedidos.Review the specific users that have consents granted. Si los usuarios de alto perfil o de alto impacto tienen consentimientos inadecuados concedidos, debe investigar más a fondo.If high profile or high impact users have inappropriate consents granted, you should investigate further.

  4. En la columna ClientDisplayName (columna C) busque aplicaciones que parezcan sospechosas.In the ClientDisplayName column (column C) look for apps that seem suspicious. Las aplicaciones con nombres mal escritos, nombres super bland o nombres de sonido de hacker deben revisarse cuidadosamente.Apps with misspelled names, super bland names, or hacker-sounding names should be reviewed carefully.

Determinar el ámbito del ataqueDetermine the scope of the attack

Una vez que haya terminado de realizar el inventario del acceso a la aplicación, revise el registro de auditoría para determinar el ámbito completo de la infracción.After you have finished inventorying application access, review the audit log to determine the full scope of the breach. Busque en los usuarios afectados, los períodos de tiempo a los que la aplicación ilícita tuvo acceso a su organización y los permisos que tenía la aplicación.Search on the affected users, the time frames that the illicit application had access to your organization, and the permissions the app had. Puede buscar el registro de auditoría en el Centro de seguridad y cumplimiento de Microsoft 365.You can search the audit log in the Microsoft 365 Security and Compliance Center.

Importante

La auditoría de buzones de correo y la auditoría de actividad para administradores y usuarios deben estar habilitadas antes del ataque para que pueda obtener esta información.Mailbox auditing and Activity auditing for admins and users must have been enabled prior to the attack for you to get this information.

Después de identificar una aplicación con permisos ilícitos, tiene varias formas de quitar ese acceso.After you have identified an application with illicit permissions, you have several ways to remove that access.

  • Puede revocar el permiso de la aplicación en el Portal de Azure Active Directory:You can revoke the application's permission in the Azure Active Directory Portal by:

    • Vaya al usuario afectado en la hoja Usuario de Azure Active Directory.Navigate to the affected user in the Azure Active Directory User blade.

    • Seleccione Aplicaciones.Select Applications.

    • Seleccione la aplicación ilícita.Select the illicit application.

    • Haga clic en Quitar en el desglose.Click Remove in the drill down.

  • Puede revocar la concesión de consentimiento de OAuth con PowerShell siguiendo los pasos descritos en Remove-AzureADOAuth2PermissionGrant.You can revoke the OAuth consent grant with PowerShell by following the steps in Remove-AzureADOAuth2PermissionGrant.

  • Puede revocar la asignación de roles de aplicación de servicio con PowerShell siguiendo los pasos descritos en Remove-AzureADServiceAppRoleAssignment.You can revoke the Service App Role Assignment with PowerShell by following the steps in Remove-AzureADServiceAppRoleAssignment.

  • También puedes deshabilitar el inicio de sesión para la cuenta afectada por completo, lo que a su vez deshabilitará el acceso de la aplicación a los datos de esa cuenta.You can also disable sign-in for the affected account altogether, which will in turn disable app access to data in that account. Esto no es ideal para la productividad del usuario final, por supuesto, pero si está trabajando para limitar el impacto rápidamente, puede ser una corrección viable a corto plazo.This isn't ideal for the end user's productivity, of course, but if you are working to limit impact quickly, it can be a viable short-term remediation.

  • Puede desactivar las aplicaciones integradas para su arrendamiento.You can turn integrated applications off for your tenancy. Este es un paso drástico que deshabilita la posibilidad de que los usuarios finales concedan su consentimiento en todo el espacio empresarial.This is a drastic step that disables the ability for end users to grant consent on a tenant-wide basis. Esto evita que los usuarios concedan acceso a una aplicación malintencionada de forma involuntaria.This prevents your users from inadvertently granting access to a malicious application. Esto no es muy recomendable, ya que afecta gravemente la capacidad de los usuarios para ser productivos con aplicaciones de terceros.This isn't strongly recommended as it severely impairs your users' ability to be productive with third party applications. Para ello, siga los pasos descritos en Activar o desactivar aplicaciones integradas.You can do this by following the steps in Turning Integrated Apps on or off.

Proteger Microsoft 365 como un profesional de la ciberseguridadSecure Microsoft 365 like a cybersecurity pro

Su suscripción a Microsoft 365 incluye un potente conjunto de capacidades de seguridad que puede usar para proteger sus datos y los usuarios.Your Microsoft 365 subscription comes with a powerful set of security capabilities that you can use to protect your data and your users. Use el Plan de seguridad de Microsoft 365: principales prioridades para los primeros 30 días, 90 días y en adelante para implementar las prácticas recomendadas de Microsoft para proteger su espacio empresarial de Microsoft 365.Use the Microsoft 365 security roadmap - Top priorities for the first 30 days, 90 days, and beyond to implement Microsoft recommended best practices for securing your Microsoft 365 tenant.

  • Tareas a realizar en los primeros 30 días.Tasks to accomplish in the first 30 days. Estas tienen un efecto inmediato y de bajo impacto para los usuarios.These have immediate affect and are low-impact to your users.

  • Tareas para llevar a cabo en 90 días.Tasks to accomplish in 90 days. Estas tareas necesitan un poco más de tiempo para planearlas e implementarlas, pero mejoran considerablemente el nivel de seguridad.These take a bit more time to plan and implement but greatly improve your security posture.

  • Más de 90 días.Beyond 90 days. Estas mejoras se crean en el trabajo de los 90 primeros días.These enhancements build in your first 90 days work.

Vea también:See also: