Team Semperis

I permessi dei ruoli personalizzati sono un indicatore di sicurezza nello strumento di valutazione delle vulnerabilità di Semperis Directory Services Protector e Semperis Purple Knight Active Directory .

L'indicatore di sicurezza dei ruoli personalizzati AAD (Azure AD, ora Entra ID) con autorizzazioni rischiose verifica se un ruolo personalizzato dispone di autorizzazioni che possono essere abusate da un utente malintenzionato. Vengono controllate le autorizzazioni per i seguenti ruoli personalizzati:

Creazione di applicazioni

Anche se esistono due autorizzazioni per la creazione di applicazioni che garantiscono l'accesso al comando Nuova registrazione, questo indicatore controlla solo la presenza della seguente autorizzazione per la creazione di applicazioni:

  • microsoft.directory/applications/create: Consente all'utente autenticato di creare una nuova applicazione nella propria Azure Active Directory. Questo utente non sarà designato come primo proprietario della registrazione dell'applicazione creata.

Quando sono assegnate entrambe le autorizzazioni /createAsOwner e /create, l'autorizzazione /create ha la precedenza. Inoltre, l'autorizzazione /createAsOwner non aggiunge automaticamente il creatore come primo proprietario. È tuttavia possibile utilizzare le API Graph o PowerShell per specificare i proprietari quando si crea la registrazione dell'app.

Uso dannoso

È necessario prestare attenzione quando si assegna l'autorizzazione /create. Questo perché il creatore non viene aggiunto come primo proprietario della registrazione dell'app creata e quindi non viene conteggiato nella quota di 250 oggetti creati del creatore. Nulla impedisce all'utente autenticato di creare un numero eccessivo di registrazioni di app nel tentativo di superare la quota a livello di directory.

Cancellazione dell'applicazione

Questo indicatore di sicurezza verifica la presenza delle seguenti autorizzazioni per l'eliminazione delle applicazioni:  

  • microsoft.directory/applicazioni/eliminazione: Consente all'utente autenticato di eliminare qualsiasi applicazione nel tenant, indipendentemente dal sottotipo. In altre parole, l'utente può eliminare sia applicazioni single-tenant che multi-tenant.
  • microsoft.directory/applications.myOrganization/delete: Consente all'utente autenticato di eliminare le registrazioni di applicazioni valutabili solo dagli account dell'organizzazione o dalle applicazioni single-tenant (sottotipo myOrganization).

Uso dannoso

Un utente con una di queste autorizzazioni per l'eliminazione delle applicazioni potrebbe interrompere l'accesso alle risorse o causare altri problemi all'interno dell'organizzazione. Per proteggersi da questo tipo di attacco, assicuratevi che solo gli utenti e le applicazioni fidate abbiano il permesso di creare ed eliminare applicazioni in Azure Active Directory e di monitorare le attività non autorizzate.

Applicazione Aggiorna tutte le proprietà

Questo indicatore controlla le autorizzazioni di aggiornamento delle proprietà dell'applicazione:

  • microsoft.directory/applications/allProperties/update: consente all'utente autorizzato di aggiornare tutte le proprietà delle applicazioni single-tenant e multi-tenant.
  • microsoft.directory/applications.myOrganization/allProperties/update: consente all'utente autorizzato di aggiornare tutte le proprietà delle applicazioni single-tenant.

Uso dannoso

Un utente con una di queste autorizzazioni di aggiornamento delle proprietà dell'applicazione può aggiornare tutte le proprietà in Azure Active Directory, compresi i certificati e i segreti di tutte le applicazioni; pertanto, può creare un nuovo segreto client e autenticarsi come applicazione.

Aggiornare le credenziali dell'applicazione

Questo indicatore verifica la presenza delle seguenti autorizzazioni che consentono l'accesso ai campi della pagina Certificati e segreti per la registrazione dell'applicazione:

  • microsoft.directory/applications/credentials/update: consente all'utente autorizzato di creare, aggiornare ed eliminare password, certificati e segreti client associati alle applicazioni single-tenant e multi-tenant.

Questa autorizzazione è generalmente concessa alle applicazioni che gestiscono o mantengono altre applicazioni all'interno di Azure AD.

  • microsoft.directory/applications.myOrganization/credentials/update: consente all'utente autorizzato di creare, aggiornare ed eliminare password, certificati e segreti client sulle applicazioni single-tenant.

Uso dannoso

È necessario prestare attenzione quando si assegnano le autorizzazioni per l'aggiornamento delle credenziali delle applicazioni, in quanto possono potenzialmente consentire alle applicazioni di apportare modifiche alle credenziali di altre applicazioni, con possibili implicazioni per la sicurezza. Infatti, se un utente malintenzionato ottiene questo tipo di autorizzazione, può autenticarsi come applicazione di destinazione.

Aggiornare il proprietario dell'applicazione

Questo indicatore di sicurezza controlla le seguenti autorizzazioni che consentono l'accesso ai campi della pagina Proprietari della registrazione dell'applicazione:

  • microsoft.directory/applications/owners/update: consente all'utente autenticato di aggiornare il proprietario su applicazioni single-tenant e multi-tenant. 
  • microsoft.directory/applications.myOrganization/owners/update: consente all'utente autenticato di aggiornare il proprietario delle applicazioni single-tenant.

Uso dannoso

Come proprietario di un'applicazione, l'utente ha il controllo sui certificati e sui segreti del client che gli consentono di autenticarsi come applicazione.

Aggiornare i permessi dell'applicazione

Questo indicatore di sicurezza verifica la presenza delle seguenti autorizzazioni che consentono l'accesso al file di registrazione dell'applicazione Autorizzazioni API e Pagine Expose an API:

Uso dannoso

Un utente con i permessi di aggiornamento dei permessi di applicazione può richiedere i permessi API, ma senza il consenso dell'amministratore. Se l'utente è in grado di costringere un amministratore a concedere il consenso dell'amministratore, riceverà questi permessi forti. (Per essere utile a un aggressore, questo richiede l'accesso preventivo a un'applicazione).

Privilegiato

Tutte le autorizzazioni personalizzate che Microsoft classifica come privilegiate sono considerate privilegiate anche da noi. 

microsoft.directory/deviceManagementPolicies/basic/update

microsoft.directory/deviceRegistrationPolicy/basic/update

microsoft.directory/servicePrincipals/allProperties/update

microsoft.directory/servicePrincipals/credenziali/aggiornamento