Détecter et corriger les octrois de consentement illicitesDetect and Remediate Illicit Consent Grants

Important

Le Centre de sécurité Microsoft 365 est à présent disponible.The improved Microsoft 365 security center is now available. Cette nouvelle expérience introduit Defender pour point de terminaison, Defender pour Office 365, Microsoft 365 Defender et bien plus encore dans le Centre de sécurité Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Découvrir les nouveautés.Learn what's new.

S’applique àApplies to

Résumé Découvrez comment reconnaître et corriger les attaques d’octroi de consentement illicite dans Office 365.Summary Learn how to recognize and remediate the illicit consent grants attack in Office 365.

Dans le cas d’une attaque par consentement illicite, l’attaquant crée une application enregistrée par Azure qui demande l’accès à des données telles que des informations de contact, des e-mails ou des documents.In an illicit consent grant attack, the attacker creates an Azure-registered application that requests access to data such as contact information, email, or documents. L’attaquant astuces ensuite un utilisateur final pour accorder à cette application l’autorisation d’accéder à ses données par le biais d’une attaque par hameçonnage ou en injectant du code illicite dans un site web approuvé.The attacker then tricks an end user into granting that application consent to access their data either through a phishing attack, or by injecting illicit code into a trusted website. Une fois l’application illicite accordée, elle dispose d’un accès aux données au niveau du compte sans avoir besoin d’un compte d’organisation.After the illicit application has been granted consent, it has account-level access to data without the need for an organizational account. Les étapes de correction normales, telles que la réinitialisation des mots de passe pour les comptes en violation ou la nécessité d’une authentification multifacteur (MFA) sur les comptes, ne sont pas efficaces contre ce type d’attaque, car il s’agit d’applications tierces externes à l’organisation.Normal remediation steps, like resetting passwords for breached accounts or requiring Multi-Factor Authentication (MFA) on accounts, are not effective against this type of attack, since these are third-party applications and are external to the organization.

Ces attaques tirent parti d’un modèle d’interaction qui suppose que l’entité qui appelle les informations est une automatisation et non une personne.These attacks leverage an interaction model which presumes the entity that is calling the information is automation and not a human.

Important

Pensez-vous que vous rencontrez des problèmes avec l’octroi illégal de consentement à partir d’une application, pour le moment ?Do you suspect you're experiencing problems with illicit consent-grants from an app, right now? Microsoft Cloud App Security (MCAS) dispose d’outils pour détecter, examiner et corriger vos applications OAuth.Microsoft Cloud App Security (MCAS) has tools to detect, investigate, and remediate your OAuth apps. Cet article MCAS présente un didacticiel qui explique comment examiner les applications OAuthà risque.This MCAS article has a tutorial that outlines how to go about investigating risky OAuth apps. Vous pouvez également définir des stratégies d’application OAuth pour examiner les autorisations demandées par l’application, les utilisateurs qui autorisent ces applications, et largement approuver ou interdire ces demandes d’autorisations.You can also set OAuth app policies to investigate app-requested permissions, which users are authorizing these apps, and widely approve or ban these permissions requests.

Vous devez effectuer une recherche dans le journal d’audit pour trouver des signes, également appelés indicateurs de compromission (IOC) de cette attaque.You need to search the audit log to find signs, also called Indicators of Compromise (IOC) of this attack. Pour les organisations avec de nombreuses applications inscrites dans Azure et une base d’utilisateurs importante, la meilleure pratique consiste à examiner les octrois de consentement de votre organisation une fois par semaine.For organizations with many Azure-registered applications and a large user base, the best practice is to review your organizations consent grants on a weekly basis.

Étapes de recherche des signes de cette attaqueSteps for finding signs of this attack

  1. Ouvrez le Centre de sécurité & conformité sur https://protection.office.com .Open the Security & Compliance Center at https://protection.office.com.

  2. Accédez à Recherche et sélectionnez Recherche dans le journal d’audit.Navigate to Search and select Audit log search.

  3. Recherchez (toutes les activités et tous les utilisateurs), entrez la date de début et la date de fin si nécessaire, puis cliquez sur Rechercher.Search (all activities and all users) and enter the start date and end date if required and then click Search.

  4. Cliquez sur Filtrer les résultats et entrez Consentement à l’application dans le champ Activité.Click Filter results and enter Consent to application in the Activity field.

  5. Cliquez sur le résultat pour voir les détails de l’activité.Click on the result to see the details of the activity. Cliquez sur Plus d’informations pour obtenir des détails sur l’activité.Click More Information to get details of the activity. Vérifiez si IsAdminContent est définie sur True.Check to see if IsAdminContent is set to True.

Notes

L’affichage de l’entrée du journal d’audit correspondant dans les résultats de la recherche après un événement peut prendre entre 30 minutes et 24 heures.It can take from 30 minutes up to 24 hours for the corresponding audit log entry to be displayed in the search results after an event occurs.

La durée de rétention et de recherche d’un enregistrement d’audit dans le journal d’audit dépend de votre abonnement Microsoft 365 et plus spécifiquement du type de licence attribuée à un utilisateur spécifique.The length of time that an audit record is retained and searchable in the audit log depends on your Microsoft 365 subscription, and specifically the type of the license that is assigned to a specific user. Pour plus d’informations, consultez le journal d’audit.For more information, see Audit log.

Si cette valeur est true, elle indique qu’une personne ayant un accès Administrateur général a peut-être accordé un large accès aux données.If this value is true, it indicates that someone with Global Administrator access may have granted broad access to data. S’il s’agit d’une attaque inattendue, prenez les mesures nécessaires pour confirmer une attaque.If this is unexpected, take steps to confirm an attack.

Comment confirmer une attaqueHow to confirm an attack

Si vous avez une ou plusieurs instances des CCI répertoriées ci-dessus, vous devez poursuivre l’examen pour confirmer que l’attaque s’est produite.If you have one or more instances of the IOCs listed above, you need to do further investigation to positively confirm that the attack occurred. Vous pouvez utiliser l’une de ces trois méthodes pour confirmer l’attaque :You can use any of these three methods to confirm the attack:

  • Inventoriez les applications et leurs autorisations à l’aide du portail Azure Active Directory.Inventory applications and their permissions using the Azure Active Directory portal. Cette méthode est minutieuse, mais vous ne pouvez vérifier qu’un seul utilisateur à la fois, ce qui peut prendre beaucoup de temps si vous avez de nombreux utilisateurs à vérifier.This method is thorough, but you can only check one user at a time which can be very time consuming if you have many users to check.

  • Inventorier les applications et leurs autorisations à l’aide de PowerShell.Inventory applications and their permissions using PowerShell. Il s’agit de la méthode la plus rapide et la plus minutieuse, avec la charge de traitement la moins importante.This is the fastest and most thorough method, with the least amount of overhead.

  • Demander à vos utilisateurs de vérifier individuellement leurs applications et autorisations et de signaler les résultats aux administrateurs pour correction.Have your users individually check their apps and permissions and report the results back to the administrators for remediation.

Inventaire des applications avec accès dans votre organisationInventory apps with access in your organization

Vous pouvez le faire pour vos utilisateurs avec le portail Azure Active Directory ou PowerShell, ou faire en sorte que vos utilisateurs émanent individuellement leur accès aux applications.You can do this for your users with either the Azure Active Directory Portal, or PowerShell or have your users individually enumerate their application access.

Étapes d’utilisation du portail Azure Active DirectorySteps for using the Azure Active Directory Portal

Vous pouvez rechercher les applications pour lesquelles un utilisateur individuel a accordé des autorisations à l’aide du portail Azure Active Directory.You can look up the applications to which any individual user has granted permissions by using the Azure Active Directory Portal.

  1. Connectez-vous au portail Azure avec des droits d’administration.Sign in to the Azure portal with administrative rights.

  2. Sélectionnez le lame Azure Active Directory.Select the Azure Active Directory blade.

  3. Sélectionner Utilisateurs.Select Users.

  4. Sélectionnez l’utilisateur à réviser.Select the user that you want to review.

  5. Sélectionnez Applications.Select Applications.

Cela vous indique les applications qui sont affectées à l’utilisateur et les autorisations dont elles ont.This will show you the apps that are assigned to the user and what permissions the applications have.

Étapes pour que vos utilisateurs émanent l’accès à leur applicationSteps for having your users enumerate their application access

Demande à vos utilisateurs d’y accéder et de consulter https://myapps.microsoft.com leur propre accès aux applications.Have your users go to https://myapps.microsoft.com and review their own application access there. Ils doivent être en mesure d’afficher toutes les applications avec accès, d’afficher les détails les concernant (y compris l’étendue de l’accès) et de révoquer des privilèges pour des applications suspectes ou illicites.They should be able to see all the apps with access, view details about them (including the scope of access), and be able to revoke privileges to suspicious or illicit apps.

Étapes à suivre pour ce faire avec PowerShellSteps for doing this with PowerShell

Le moyen le plus simple de vérifier l’attaque par octroi de consentement illicite consiste à exécuter Get-AzureADPSPermissions.ps1, qui vide toutes les autorisations OAuth et toutes les applications OAuth pour tous les utilisateurs de votre location dans un fichier .csv.The simplest way to verify the Illicit Consent Grant attack is to run Get-AzureADPSPermissions.ps1, which will dump all the OAuth consent grants and OAuth apps for all users in your tenancy into one .csv file.

Conditions préalablesPre-requisites

  • La bibliothèque Azure AD PowerShell est installée.The Azure AD PowerShell library installed.

  • Droits d’administrateur général sur le client sur le client sur qui le script sera exécuté.Global administrator rights on the tenant that the script will be run against.

  • Administrateur local sur l’ordinateur à partir duquel exécuter les scripts.Local Administrator on the computer from which will run the scripts.

Important

Nous vous recommandons vivement d’exiger une authentification multifacteur sur votre compte d’administration.We highly recommend that you require multi-factor authentication on your administrative account. Ce script prend en charge l’authentification multifacteur.This script supports MFA authentication.

  1. Connectez-vous à l’ordinateur à partir de qui vous exécuterez le script avec des droits d’administrateur local.Sign in to the computer that you will run the script from with local administrator rights.

  2. Téléchargez ou copiez le script Get-AzureADPSPermissions.ps1 à partir de GitHub dans un dossier à partir duquel vous exécuterez le script.Download or copy the Get-AzureADPSPermissions.ps1 script from GitHub to a folder from which you will run the script. Ce sera le même dossier dans lequel le fichier « permissions.csv » de sortie sera écrit.This will be the same folder to which the output "permissions.csv" file will be written.

  3. Ouvrez une instance PowerShell en tant qu’administrateur et ouvrez le dossier dans qui vous avez enregistré le script.Open a PowerShell instance as an administrator and open to the folder you saved the script to.

  4. Connectez-vous à votre annuaire à l’aide de l’cmdlet Connect-AzureAD.Connect to your directory using the Connect-AzureAD cmdlet.

  5. Exécutez cette commande PowerShell :Run this PowerShell command:

    .\Get-AzureADPSPermissions.ps1 | Export-csv -Path "Permissions.csv" -NoTypeInformation
    

Le script produit un fichier nommé Permissions.csv.The script produces one file named Permissions.csv. Pour rechercher des autorisations d’application illicites, suivez les étapes suivantes :Follow these steps to look for illicit application permission grants:

  1. Dans la colonne ConsentType (colonne G), recherchez la valeur « AllPrinciples ».In the ConsentType column (column G) search for the value "AllPrinciples". L’autorisation AllPrincipals permet à l’application cliente d’accéder au contenu de tout le monde dans la location.The AllPrincipals permission allows the client application to access everyone's content in the tenancy. Les applications Microsoft 365 natives ont besoin de cette autorisation pour fonctionner correctement.Native Microsoft 365 applications need this permission to work correctly. Toutes les applications non-Microsoft qui ont cette autorisation doivent être examinées attentivement.Every non-Microsoft application with this permission should be reviewed carefully.

  2. Dans la colonne Autorisation (colonne F), examinez les autorisations dont dispose chaque application déléguée pour le contenu.In the Permission column (column F) review the permissions that each delegated application has to content. Recherchez les autorisations « Lecture » et « Écriture » ou « * ». Toutes les autorisations et examinez-les attentivement, car elles peuvent ne pas être appropriées.Look for "Read" and "Write" permission or "*.All" permission, and review these carefully because they may not be appropriate.

  3. Examinez les utilisateurs spécifiques qui ont des consentements accordés.Review the specific users that have consents granted. Si des utilisateurs à profil élevé ou à fort impact ont des consentements inappropriés accordés, vous devez examiner plus en détail.If high profile or high impact users have inappropriate consents granted, you should investigate further.

  4. Dans la colonne ClientDisplayName (colonne C), recherchez les applications qui semblent suspectes.In the ClientDisplayName column (column C) look for apps that seem suspicious. Les applications avec des noms mal orthographiés, des noms de super-sites ou des noms de pirates informatiques doivent être examinées attentivement.Apps with misspelled names, super bland names, or hacker-sounding names should be reviewed carefully.

Déterminer l’étendue de l’attaqueDetermine the scope of the attack

Une fois que vous avez terminé l’inventaire de l’accès aux applications, examinez le journal d’audit pour déterminer l’étendue complète de la violation.After you have finished inventorying application access, review the audit log to determine the full scope of the breach. Recherchez les utilisateurs concernés, les délais d’accès de l’application illicite à votre organisation et les autorisations de l’application.Search on the affected users, the time frames that the illicit application had access to your organization, and the permissions the app had. Vous pouvez effectuer une recherche dans le journal d’audit dans le Centre de sécurité et conformité Microsoft 365.You can search the audit log in the Microsoft 365 Security and Compliance Center.

Important

L’audit de boîte aux lettres et l’audit d’activité pour les administrateurs et les utilisateurs doivent avoir été activés avant l’attaque pour que vous receviez ces informations.Mailbox auditing and Activity auditing for admins and users must have been enabled prior to the attack for you to get this information.

Une fois que vous avez identifié une application avec des autorisations illicites, vous avez plusieurs façons de supprimer cet accès.After you have identified an application with illicit permissions, you have several ways to remove that access.

  • Vous pouvez révoquer l’autorisation de l’application dans le portail Azure Active Directory en :You can revoke the application's permission in the Azure Active Directory Portal by:

    • Accédez à l’utilisateur affecté dans le palette Utilisateur Azure Active Directory.Navigate to the affected user in the Azure Active Directory User blade.

    • Sélectionnez Applications.Select Applications.

    • Sélectionnez l’application illicite.Select the illicit application.

    • Cliquez sur Supprimer dans l’exercice vers le bas.Click Remove in the drill down.

  • Vous pouvez révoquer l’octroi de consentement OAuth avec PowerShell en suivant les étapes de Remove-AzureADOAuth2PermissionGrant.You can revoke the OAuth consent grant with PowerShell by following the steps in Remove-AzureADOAuth2PermissionGrant.

  • Vous pouvez révoquer l’attribution de rôle d’application de service avec PowerShell en suivant les étapes de Remove-AzureADServiceAppRoleAssignment.You can revoke the Service App Role Assignment with PowerShell by following the steps in Remove-AzureADServiceAppRoleAssignment.

  • Vous pouvez également désactiver la connectez-vous pour le compte affecté, ce qui désactivera à son tour l’accès de l’application aux données de ce compte.You can also disable sign-in for the affected account altogether, which will in turn disable app access to data in that account. Ce n’est pas idéal pour la productivité de l’utilisateur final, bien entendu, mais si vous travaillez pour limiter rapidement l’impact, il peut s’agir d’une correction viable à court terme.This isn't ideal for the end user's productivity, of course, but if you are working to limit impact quickly, it can be a viable short-term remediation.

  • Vous pouvez désactiver les applications intégrées pour votre location.You can turn integrated applications off for your tenancy. Il s’agit d’une étape radicale qui désactive la possibilité pour les utilisateurs finaux d’accorder leur consentement à l’échelle du client.This is a drastic step that disables the ability for end users to grant consent on a tenant-wide basis. Cela empêche vos utilisateurs d’accorder par inadvertance l’accès à une application malveillante.This prevents your users from inadvertently granting access to a malicious application. Cette recommandation n’est pas vivement recommandée, car elle nuit gravement à la capacité de productivité de vos utilisateurs avec des applications tierces.This isn't strongly recommended as it severely impairs your users' ability to be productive with third party applications. Pour ce faire, vous pouvez suivre les étapes de l’étape d'allumer ou de éteindre les applications intégrées.You can do this by following the steps in Turning Integrated Apps on or off.

Sécuriser Microsoft 365 comme un pro de la cyber-sécuritéSecure Microsoft 365 like a cybersecurity pro

Votre abonnement Microsoft 365 inclut un ensemble puissant de fonctionnalités de sécurité que vous pouvez utiliser pour protéger vos données et vos utilisateurs.Your Microsoft 365 subscription comes with a powerful set of security capabilities that you can use to protect your data and your users. Utilisez la Feuille de route du Centre de sécurité Microsoft 365 : principales priorités pour les 30 premiers jours, 90 premiers jours et au-delà, pour implémenter les meilleures pratiques recommandées par Microsoft pour sécuriser votre client Microsoft 365.Use the Microsoft 365 security roadmap - Top priorities for the first 30 days, 90 days, and beyond to implement Microsoft recommended best practices for securing your Microsoft 365 tenant.

  • Tâches à effectuer lors des 30 premiers jours.Tasks to accomplish in the first 30 days. Elle ont un effet immédiat et n’ont qu’un faible impact négatif sur vos utilisateurs.These have immediate affect and are low-impact to your users.

  • Tâches à accomplir dans les 90 premiers jours.Tasks to accomplish in 90 days. Ces tâches prennent un peu plus de temps à planifier et à implémenter, mais augmentent considérablement votre sécurité.These take a bit more time to plan and implement but greatly improve your security posture.

  • Au-delà de 90 jours.Beyond 90 days. Ces améliorations sont à mettre en place pendant les 90 premiers jours.These enhancements build in your first 90 days work.

Voir aussi :See also: