Custom Roles Permissions es un indicador de seguridad en Semperis Directory Services Protector y Semperis Purple Knight Active Directory vulnerability assessment tool
El indicador de seguridad de roles personalizados con permisos de riesgo de AAD (Azure AD, ahora llamado Entra ID ) comprueba si un rol personalizado tiene permisos de los que puede abusar un atacante. Se comprueban los permisos de los siguientes roles personalizados:
- Creación de aplicaciones
- Eliminación de aplicaciones
- Actualizar todas las propiedades de la aplicación
- Actualizar las credenciales de la aplicación
- Actualizar el propietario de la aplicación
- Actualizar los permisos de la aplicación
Creación de aplicaciones
Aunque hay dos permisos de creación de aplicaciones que dan acceso al comando Nuevo registro, este indicador sólo comprueba el siguiente permiso de creación de aplicaciones:
- microsoft.directory/applications/create: Permite al usuario autenticado crear una nueva aplicación en su Azure Active Directory. Este usuario no será designado como primer propietario del registro de la app creada.
Cuando se asignan los permisos /createAsOwner y /create, el permiso /create tiene prioridad. Además, el permiso /createAsOwner no añade automáticamente al creador como primer propietario. No obstante, puede utilizar las Graph API o PowerShell para especificar los propietarios al crear el registro de la aplicación.
Uso malintencionado
Se debe tener cuidado al asignar el permiso /create. Esto se debe a que el creador no se agrega como primer propietario del registro de la aplicación creada y, por lo tanto, no se tiene en cuenta en la cuota de 250 objetos creados del creador. No hay nada que impida al usuario autenticado crear un número excesivo de registros de aplicaciones en un esfuerzo por superar la cuota a nivel de directorio.
Eliminación de solicitudes
Este indicador de seguridad comprueba los siguientes permisos de eliminación de aplicaciones:
- microsoft.directory/aplicaciones/eliminar: Permite al usuario autenticado eliminar cualquier aplicación del tenant, independientemente del subtipo. Es decir, el usuario puede eliminar tanto aplicaciones de un tenant como de varios tenants.
- microsoft.directory/applications.myOrganization/delete: Permite al usuario autenticado eliminar registros de aplicaciones que sólo son evaluables para cuentas de su organización o aplicaciones de un único inquilino (subtipo myOrganization).
Uso malintencionado
Un usuario con cualquiera de estos permisos de eliminación de aplicaciones podría interrumpir el acceso a los recursos o causar otros problemas dentro de la organización. Para protegerse contra este tipo de ataque, asegúrese de que solo los usuarios y las aplicaciones de confianza tengan permiso para crear y eliminar aplicaciones en Azure Active Directory, así como para supervisar la actividad no autorizada.
Actualizar todas las propiedades
Este indicador comprueba los siguientes permisos de actualización de las propiedades de la aplicación:
- microsoft.directory/applications/allProperties/update: permite al usuario autorizado actualizar todas las propiedades de las aplicaciones de un único inquilino y multiinquilino.
- microsoft.directory/applications.myOrganization/allProperties/update: permite al usuario autorizado actualizar todas las propiedades de las aplicaciones de un único inquilino.
Uso malintencionado
Un usuario con cualquiera de estos permisos de actualización de propiedades de aplicación puede actualizar todas las propiedades en Azure Active Directory, incluidos los certificados y secretos de todas las aplicaciones; por lo tanto, puede crear un nuevo secreto de cliente y autenticarse como esta aplicación.
Actualizar las credenciales de la aplicación
Este indicador comprueba los siguientes permisos que conceden acceso a los campos de la página Certificados y secretos de registro de la solicitud:
- microsoft.directory/applications/credentials/update: permite al usuario autorizado crear, actualizar y eliminar contraseñas, certificados y secretos de cliente asociados a aplicaciones de un único inquilino y multiinquilino.
Este permiso suele concederse a las aplicaciones que gestionan o mantienen otras aplicaciones dentro de Azure AD.
- microsoft.directory/applications.myOrganization/credentials/update: permite al usuario autorizado crear, actualizar y eliminar contraseñas, certificados y secretos de cliente en aplicaciones de un solo inquilino.
Uso malintencionado
Se debe tener cuidado al asignar permisos de actualización de credenciales de aplicaciones, ya que potencialmente puede permitir que las aplicaciones realicen cambios en las credenciales de otras aplicaciones, lo que podría tener implicaciones de seguridad. Es decir, si un atacante obtiene este tipo de permiso, puede autenticarse como la aplicación objetivo.
Actualizar el propietario de la aplicación
Este indicador de seguridad comprueba los siguientes permisos que conceden acceso a los campos de la página Propietarios del registro de solicitudes:
- microsoft.directory/applications/owners/update: permite al usuario autenticado actualizar el propietario en aplicaciones de un único inquilino y multiinquilino.
- microsoft.directory/applications.myOrganization/owners/update: permite al usuario autenticado actualizar el propietario en aplicaciones de un solo inquilino.
Uso malintencionado
Como propietario de una aplicación, el usuario tiene control sobre los certificados y secretos de cliente que le permiten autenticarse como la aplicación.
Actualizar los permisos de la aplicación
Este indicador de seguridad comprueba los siguientes permisos que conceden acceso al archivo en las páginas Permisos de API de registro de aplicaciones y Exponer una API:
Uso malintencionado
Un usuario con permisos de actualización de permisos de aplicación puede solicitar permisos de API, pero sin el consentimiento del administrador. Si el usuario es capaz de coaccionar a un administrador para que le conceda el consentimiento de administrador, recibirá estos permisos fuertes. (Para que esto sea útil para un atacante, se requiere acceso previo a la aplicación).
Privilegiado
Todos los permisos personalizados que Microsoft clasifica como privilegiados también son considerados privilegiados por nosotros.
microsoft.directory/deviceManagementPolicies/basic/update
microsoft.directory/deviceRegistrationPolicy/basic/update
microsoft.directory/servicePrincipals/allProperties/update
microsoft.directory/servicePrincipals/credentials/update