Detetar e Remediar Concessões de Consentimento Ilícito

Dica

Sabia que pode experimentar as funcionalidades do Microsoft 365 Defender para Office 365 Plano 2 gratuitamente? Utilize a versão de avaliação de 90 dias do Defender para Office 365 no hub de avaliação do portal do Microsoft 365 Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação aqui.

Aplica-se a

Resumo Saiba como reconhecer e remediar o ataque de autorização ilícita no Microsoft 365.

Num ataque de autorização ilícito, o atacante cria uma aplicação registada no Azure que pede acesso a dados como informações de contacto, e-mail ou documentos. O atacante, em seguida, truques para que o utilizador final conceda autorização a essa aplicação para aceder aos respetivos dados através de um ataque de phishing ou ao injetar código ilícito num Web site de confiança. Após a autorização ilícita da aplicação, esta tem acesso aos dados ao nível da conta sem necessitar de uma conta organizacional. Os passos de remediação normais, como repor palavras-passe de contas violadas ou requerer a Multi-Factor Authentication (MFA) em contas, não são eficazes contra este tipo de ataque, uma vez que se tratam de aplicações de terceiros e são externas à organização.

Estes ataques aproveitam um modelo de interação que presume que a entidade que está a chamar as informações é uma automatização e não um ser humano.

Importante

Suspeita que está a ter problemas com autorizações ilícitas de uma aplicação neste momento? Microsoft Defender for Cloud Apps tem ferramentas para detetar, investigar e remediar as suas aplicações OAuth. Este artigo do Defender para Aplicações na Nuvem tem um tutorial que explica como investigar aplicações OAuth arriscadas. Também pode definir políticas da aplicação OAuth para investigar as permissões pedidas pela aplicação, que os utilizadores estão a autorizar estas aplicações e aprovarem ou banirem amplamente estes pedidos de permissões.

Tem de procurar no registo de auditoria para encontrar sinais, também denominados Indicadores de Compromisso (IOC) deste ataque. Para organizações com muitas aplicações registadas do Azure e uma base de utilizadores de grandes dimensões, a melhor prática é rever as concessões de consentimento das suas organizações semanalmente.

Passos para encontrar sinais deste ataque

  1. Abra o portal de Microsoft 365 Defender em e, em https://security.microsoft.com seguida, selecione Auditoria. Em alternativa, para aceder diretamente à página Auditoria, utilize https://security.microsoft.com/auditlogsearch.

  2. Na página Auditoria , verifique se o separador Procurar está selecionado e, em seguida, configure as seguintes definições:

    • Intervalo de datas e horas
    • Atividades: verifique se a opção Mostrar resultados para todas as atividades está selecionada .

    Quando tiver terminado, clique em Procurar.

  3. Clique na coluna Atividade para ordenar os resultados e procure Consentimento para a aplicação.

  4. Selecione uma entrada na lista para ver os detalhes da atividade. Verifique se o IsAdminConsent está definido como Verdadeiro.

Nota

Pode demorar entre 30 minutos até 24 horas para que a entrada de registo de auditoria correspondente seja apresentada nos resultados da pesquisa após ocorrer um evento.

O tempo que um registo de auditoria é retido e pesculhável no registo de auditoria depende da sua subscrição do Microsoft 365 e, especificamente, do tipo de licença atribuída a um utilizador específico. Para obter mais informações, consulte Registo de auditoria.

Se este valor for verdadeiro, indica que alguém com acesso de Administrador Global pode ter concedido acesso abrangente aos dados. Se isto for inesperado, tome medidas para confirmar um ataque.

Como confirmar um ataque

Se tiver uma ou mais instâncias dos IOCs listadas acima, tem de investigar o ataque de forma positiva para confirmar que o ataque ocorreu. Pode utilizar qualquer um destes três métodos para confirmar o ataque:

  • Aplicações de inventário e as respetivas permissões através do portal do Azure Active Directory. Este método é exaustivo, mas só pode verificar um utilizador de cada vez, o que pode ser muito demorado se tiver muitos utilizadores a verificar.
  • Aplicações de inventário e as respetivos permissões através do PowerShell. Este é o método mais rápido e minucioso, com o mínimo de custos gerais.
  • Pedir aos seus utilizadores para verificarem as respetivas aplicações e permissões individualmente e comunicar os resultados aos administradores para que estes os remediam.

Aplicações de inventário com acesso na sua organização

Pode fazê-lo para os seus utilizadores com o Portal do Azure Active Directory ou com o PowerShell ou para que os seus utilizadores enumerem individualmente o acesso à aplicação.

Passos para utilizar o Portal do Azure Active Directory

Pode procurar as aplicações às quais qualquer utilizador individual concedeu permissões ao utilizar o Portal do Azure Active Directory em https://portal.azure.com.

  1. Inscreva-se no portal do Azure com direitos administrativos.
  2. Selecione a folha do Azure Active Directory.
  3. Selecione Utilizadores.
  4. Selecione o utilizador que pretende rever.
  5. Selecione Aplicações.

Isto irá mostrar-lhe as aplicações que estão atribuídas ao utilizador e quais as permissões que as aplicações têm.

Passos para que os seus utilizadores enumerem o acesso à aplicação

Reveja os seus utilizadores e https://myapps.microsoft.com reveja aí o respetivo acesso à aplicação. Devem conseguir ver todas as aplicações com acesso, ver detalhes sobre as mesmas (incluindo o âmbito de acesso) e revogar privilégios a aplicações suspeitas ou ilícitas.

Passos para o fazer com o PowerShell

A forma mais simples de verificar o ataque Conceder Consentimento Ilícito é executar oGet-AzureADPSPermissions.ps1, que irá refletir todas as autorizações da OAuth e as aplicações OAuth para todos os utilizadores no seu inquilino num único .csv ficheiro.

Pré-requisitos

  • A Azure AD biblioteca do PowerShell instalada.
  • Administrador global direitos do inquilino contra os mesmos.
  • Administrador Local no computador a partir do qual irá executar os scripts.

Importante

Recomendamos vivamente que necessite de autenticação multifatores na sua conta administrativa. Este script suporta a autenticação MFA.

  1. Inicia uma ação no computador a partir do onde irá executar o script com direitos de administrador local.

  2. Transfira ou copie o scriptGet-AzureADPSPermissions.ps1 do GitHub para uma pasta a partir da qual irá executar o script. Esta será a mesma pasta na qual o ficheiro de permissions.csv saída será escrito.

  3. Abra uma sessão do PowerShell como administrador e abra a pasta onde guardou o script.

  4. Ligue-se ao seu diretório através do cmdlet Connect-AzureAD .

  5. Execute este comando do PowerShell:

    .\Get-AzureADPSPermissions.ps1 | Export-csv -Path "Permissions.csv" -NoTypeInformation
    

O script produz um ficheiro com o nome Permissions.csv. Siga estes passos para procurar concessões ilícitas de permissões de aplicações:

  1. Na coluna ConsentType (coluna G) procure o valor "AllPrinciples". A permissão AllPrincipals permite que a aplicação cliente aceda aos conteúdos de todos os utilizadores no inquilino. As aplicações nativas do Microsoft 365 precisam desta permissão para funcionar corretamente. Todas as aplicações que não sejam da Microsoft com esta permissão devem ser revistas cuidadosamente.

  2. Na coluna Permissão (coluna F), reveja as permissões que cada aplicação delegada tem para os conteúdos. Procure a permissão "Ler" e "Escrever" ou "Tudo" e reveja-as cuidadosamente porque podem não ser adequadas.

  3. Reveja os utilizadores específicos que têm consentimentos concedidos. Se os utilizadores de alto perfil ou de elevado impacto concederem consentimentos inapropriados, deve investigar mais.

  4. Na coluna ClientDisplayName (coluna C), procure aplicações que pareçam suspeitas. As aplicações com nomes escritos indeletamente, nomes super bland ou nomes com som de hacker devem ser revistas cuidadosamente.

Determinar o âmbito do ataque

Depois de terminar o acesso à aplicação de inventário, reveja o registo de auditoria para determinar o âmbito completo da violação. Procure os utilizadores afetados, os períodos de tempo que a aplicação ilícita tinha acesso à sua organização e as permissões que a aplicação tinha. Pode pesquisar no registo de auditoria no portal Microsoft 365 Defender pesquisa.

Importante

A auditoria de caixas de correio e a auditoria de atividade para administradores e utilizadores têm de ter sido ativadas antes do ataque para que o utilizador receda estas informações.

Depois de identificar uma aplicação com permissões ilícitas, existem várias formas de remover esse acesso.

  • Pode revogar a permissão da aplicação no Portal do Azure Active Directory ao:

    1. Navegue para o utilizador afetado no blade utilizador do Azure Active Directory .
    2. Selecione Aplicações.
    3. Selecione a aplicação ilícita.
    4. Clique em Remover na desaproteção.
  • Pode revogar a concessão de consentimento da OAuth com o PowerShell ao seguir os passos em Remove-AzureADOAuth2PermissionGrant.

  • Pode revogar a Atribuição de Funções da Aplicação de Serviço com o PowerShell ao seguir os passos em Remove-AzureADServiceAppRoleAssignment.

  • Também pode desativar completamente o acesso à aplicação para a conta afetada, o que, por sua vez, irá desativar o acesso da aplicação aos dados na mesma. Não é ideal para a produtividade do utilizador final, claro, mas se estiver a trabalhar para limitar o impacto rapidamente, pode ser uma remediação a curto prazo viável.

  • Pode desarmalar aplicações integradas para o seu inquilino. Este é um passo drastico que desativa a capacidade dos utilizadores finais de conceder consentimento numa base de inquilino para todos os inquilinos. Isto impede que os seus utilizadores concedam inadvertidamente acesso a uma aplicação maliciosa. Este método não é vivamente recomendado, uma vez que prejudica seriamente a capacidade de os seus utilizadores ser produtivos com aplicações de terceiros. Pode fazê-lo ao seguir os passos em Ativo ou desligado de Aplicações Integradas.

Proteger o Microsoft 365 como um profissional de cibersegurança

A sua subscrição do Microsoft 365 vem com um conjunto poderoso de funcionalidades de segurança que pode utilizar para proteger os seus dados e os seus utilizadores. Utilize as normas de segurança do Microsoft 365 – principais prioridades para os primeiros 30 dias, 90 dias e para além de implementar as melhores práticas recomendadas da Microsoft para proteger o seu inquilino do Microsoft 365.

  • Tarefas a realizar nos primeiros 30 dias. Estes têm efeito imediato e são de baixo impacto para os seus utilizadores.
  • Tarefas a realizar dentro de 90 dias. Estas ações levam mais tempo a planear e implementar, mas melhoram muito a sua postura de segurança.
  • Após 90 dias. Estas melhorias baseam-se nos seus primeiros 90 dias de trabalho.

Consulte também