Rôles personnalisés Permissions

L'équipe Semperis

Custom Roles Permissions est un indicateur de sécurité dans Semperis Directory Services Protector et Semperis Purple Knight Active Directory vulnerability assessment tool .

L'indicateur de sécurité des rôles personnalisés de l'AAD (Azure AD, maintenant appelé Entra ID) avec des autorisations risquées vérifie si un rôle personnalisé a des autorisations qui peuvent être utilisées de manière abusive par un attaquant. Les autorisations des rôles personnalisés suivants sont vérifiées :

Création d'une application
Suppression de la demande
Mise à jour de l'application de toutes les propriétés
Mise à jour des informations d'identification de l'application
Mise à jour du propriétaire de l'application
Mettre à jour les autorisations de l'application

Création de l'application

Bien qu'il existe deux autorisations de création d'application qui donnent accès à la commande Nouvel enregistrement, cet indicateur ne vérifie que l'autorisation de création d'application suivante :

microsoft.directory/applications/create: Permet à l'utilisateur authentifié de créer une nouvelle application dans son Azure Active Directory. Cet utilisateur ne sera pas désigné comme le premier propriétaire de l'enregistrement de l'application créée.

Lorsque les autorisations /createAsOwner et /create sont toutes deux attribuées, l'autorisation /create est prioritaire. En outre, l'autorisation /createAsOwner n'ajoute pas automatiquement le créateur en tant que premier propriétaire. Vous pouvez cependant utiliser les API graphiques ou PowerShell pour spécifier les propriétaires lorsque vous créez l'enregistrement de l'application.

Utilisation malveillante

Il convient d'être prudent lors de l'attribution de l'autorisation /create. En effet, le créateur n'est pas ajouté en tant que premier propriétaire de l'enregistrement d'application créé et n'est donc pas comptabilisé dans le quota de 250 objets créés du créateur. Rien n'empêche l'utilisateur authentifié de créer un nombre excessif d'enregistrements d'applications dans le but de dépasser le quota au niveau du répertoire.

Suppression de la demande

Cet indicateur de sécurité vérifie les autorisations de suppression d'applications suivantes :

microsoft.directory/applications/delete: Permet à l'utilisateur authentifié de supprimer n'importe quelle application dans le locataire, quel que soit le sous-type. En d'autres termes, l'utilisateur peut supprimer à la fois des applications à locataire unique et des applications à locataires multiples.
microsoft.directory/applications.myOrganization/delete: Permet à l'utilisateur authentifié de supprimer les enregistrements d'applications qui ne peuvent être évalués que pour les comptes de votre organisation ou les applications à locataire unique (sous-type myOrganization).

Utilisation malveillante

Un utilisateur disposant de l'une ou l'autre de ces autorisations de suppression d'applications pourrait perturber l'accès aux ressources ou causer d'autres problèmes au sein de l'organisation. Pour vous protéger contre ce type d'attaque, veillez à ce que seuls les utilisateurs et les applications de confiance soient autorisés à créer et à supprimer des applications dans Azure Active Directory, et à surveiller les activités non autorisées.

Mise à jour de toutes les propriétés

Cet indicateur vérifie les autorisations de mise à jour des propriétés de l'application suivantes :

microsoft.directory/applications/allProperties/update: permet à l'utilisateur autorisé de mettre à jour toutes les propriétés des applications à locataire unique et à locataires multiples.
microsoft.directory/applications.myOrganization/allProperties/update: permet à l'utilisateur autorisé de mettre à jour toutes les propriétés des applications à locataire unique.

Utilisation malveillante

Un utilisateur disposant de l'une de ces autorisations de mise à jour des propriétés de l'application peut mettre à jour toutes les propriétés dans Azure Active Directory, y compris les certificats et les secrets de toutes les applications ; il peut donc créer un nouveau secret client et s'authentifier en tant qu'application.

Mise à jour des références de l'application

Cet indicateur vérifie les autorisations suivantes qui donnent accès aux champs de la page Certificats et secrets de l'enregistrement de la demande :

microsoft.directory/applications/credentials/update: permet à l'utilisateur autorisé de créer, de mettre à jour et de supprimer des mots de passe, des certificats et des secrets de clients associés à des applications à locataire unique et à locataires multiples.

Cette autorisation est généralement accordée aux applications qui gèrent ou maintiennent d'autres applications dans Azure AD.

microsoft.directory/applications.myOrganization/credentials/update: permet à l'utilisateur autorisé de créer, de mettre à jour et de supprimer des mots de passe, des certificats et des secrets de clients sur des applications à locataire unique.

Utilisation malveillante

Il convient d'être prudent lors de l'attribution des autorisations de mise à jour des informations d'identification des applications, car elles peuvent potentiellement permettre aux applications de modifier les informations d'identification d'autres applications, ce qui pourrait avoir des conséquences en termes de sécurité. En effet, si un pirate obtient ce type d'autorisation, il peut s'authentifier en tant qu'application cible.

Mise à jour du propriétaire de l'application

Cet indicateur de sécurité vérifie les autorisations suivantes qui donnent accès aux champs de la page Propriétaires de l' enregistrement de la demande :

microsoft.directory/applications/owners/update: permet à l'utilisateur authentifié de mettre à jour le propriétaire sur les applications à locataire unique et à locataires multiples.
microsoft.directory/applications.myOrganization/owners/update: permet à l'utilisateur authentifié de mettre à jour le propriétaire sur les applications à locataire unique.

Utilisation malveillante

En tant que propriétaire d'une application, l'utilisateur contrôle les certificats et les secrets clients qui lui permettent de s'authentifier en tant qu'application.

Mise à jour des autorisations de l'application

Cet indicateur de sécurité vérifie les autorisations suivantes qui permettent d'accéder au fichier sur les pages Autorisations API d' enregistrement de l'application et Exposer une API:

Utilisation malveillante

Un utilisateur disposant d'autorisations de mise à jour des autorisations d'application peut demander des autorisations d'API, mais sans le consentement de l'administrateur. Si l'utilisateur est en mesure de contraindre un administrateur à donner son accord, il recevra ces autorisations fortes. (Pour être utile à un attaquant, cette méthode nécessite un accès préalable à l'interface utilisateur de l'application).

Privilégié

Toutes les autorisations personnalisées que Microsoft classe comme privilégiées sont également considérées comme privilégiées par nous.

microsoft.directory/deviceManagementPolicies/basic/update

microsoft.directory/deviceRegistrationPolicy/basic/update

microsoft.directory/servicePrincipals/allProperties/update

microsoft.directory/servicePrincipals/credentials/update

Nouveau rapport TEI de Forrester : Semperis réduit les temps d'arrêt de 90 % et fait économiser des millions à ses clients

Semperis étend la détection d'attaques basée sur le ML en se spécialisant sur les risques liés à l'identité

Semperis remporte le prestigieux Partner Program Guide de CRN trois années de suite

L'étude de Semperis sur les ransomwares révèle que 86 % des victimes de ransomwares sont ciblées pendant un week-end ou un jour férié.

Semperis figure sur la liste annuelle des meilleurs lieux de travail du magazine Inc. Magazine pour la troisième année consécutive.

Rôles personnalisés Permissions

Custom Roles Permissions est un indicateur de sécurité dans Semperis Directory Services Protector et Semperis Purple Knight Active Directory vulnerability assessment tool .

Création de l'application

Utilisation malveillante

Suppression de la demande

Utilisation malveillante

Mise à jour de toutes les propriétés

Utilisation malveillante

Mise à jour des références de l'application

Utilisation malveillante

Mise à jour du propriétaire de l'application

Utilisation malveillante

Mise à jour des autorisations de l'application

Utilisation malveillante

Nouveau rapport TEI de Forrester : Semperis réduit les temps d'arrêt de 90 % et fait économiser des millions à ses clients

Semperis étend la détection d'attaques basée sur le ML en se spécialisant sur les risques liés à l'identité

Semperis remporte le prestigieux Partner Program Guide de CRN trois années de suite

L'étude de Semperis sur les ransomwares révèle que 86 % des victimes de ransomwares sont ciblées pendant un week-end ou un jour férié.

Semperis figure sur la liste annuelle des meilleurs lieux de travail du magazine Inc. Magazine pour la troisième année consécutive.

Rôles personnalisés Permissions

Custom Roles Permissions est un indicateur de sécurité dans Semperis Directory Services Protector et Semperis Purple Knight Active Directory vulnerability assessment tool .

Création de l'application

Utilisation malveillante

Suppression de la demande

Utilisation malveillante

Mise à jour de toutes les propriétés

Utilisation malveillante

Mise à jour des références de l'application

Utilisation malveillante

Mise à jour du propriétaire de l'application

Utilisation malveillante

Mise à jour des autorisations de l'application

Utilisation malveillante

S'inscrire pour recevoir les actualités de Semperis