Equipa Semperis

As permissões de funções personalizadas são um indicador de segurança na ferramenta de avaliação de vulnerabilidades do Active Directory da Semperis Directory Services Protector e da Semperis Purple Knight

O indicador de segurança de funções personalizadas do AAD (Azure AD, agora chamado Entra ID) com permissões de risco verifica se uma função personalizada tem permissões que podem ser abusadas por um invasor. As permissões para as seguintes funções personalizadas são verificadas:

Criação de aplicações

Embora existam duas permissões de criação de aplicações que concedem acesso ao comando Novo registo, este indicador apenas verifica a seguinte permissão de criação de aplicações:

  • microsoft.directory/applications/create: Permite que o utilizador autenticado crie uma nova aplicação no Azure Active Directory. Este utilizador não será designado como o primeiro proprietário do registo da aplicação criada.

Quando as permissões /createAsOwner e /create são atribuídas, a permissão /create tem precedência. Além disso, a permissão /createAsOwner não adiciona automaticamente o criador como o primeiro proprietário. No entanto, você pode usar as APIs do Graph ou o PowerShell para especificar proprietários ao criar o registro do aplicativo.

Utilização maliciosa

Deve ter-se cuidado ao atribuir a permissão /create. Isto deve-se ao facto de o criador não ser adicionado como o primeiro proprietário do registo de aplicação criado e, por isso, não é contabilizado na quota de 250 objectos criados do criador. Não há nada que impeça o utilizador autenticado de criar um número excessivo de registos de aplicações, numa tentativa de exceder a quota ao nível do diretório.

Eliminação de aplicações

Este código de segurança verifica as seguintes permissões de eliminação de aplicações:  

  • microsoft.directory/applications/delete: Permite que o utilizador autenticado elimine qualquer aplicação no inquilino, independentemente do subtipo. Ou seja, o utilizador pode eliminar aplicações de inquilino único e de vários inquilinos.
  • microsoft.directory/applications.myOrganization/delete: Permite que o utilizador autenticado elimine registos de aplicações que são avaliáveis apenas para contas na sua organização ou aplicações de inquilino único (subtipo myOrganization).

Utilização maliciosa

Um utilizador com qualquer uma destas permissões de eliminação de aplicações pode perturbar o acesso a recursos ou causar outros problemas na organização. Para se proteger contra este tipo de ataque, certifique-se de que apenas os utilizadores e aplicações de confiança têm permissão para criar e eliminar aplicações no Azure Active Directory e para monitorizar a atividade não autorizada.

Aplicação Atualizar todas as propriedades

Este indicador verifica as seguintes permissões de atualização das propriedades da aplicação:

  • microsoft.directory/applications/allProperties/update: Permite que o utilizador autorizado actualize todas as propriedades em aplicações de inquilino único e multilocatário.
  • microsoft.directory/applications.myOrganization/allProperties/update: Permite que o utilizador autorizado actualize todas as propriedades de aplicações de inquilino único.

Utilização maliciosa

Um utilizador com uma destas permissões de atualização das propriedades da aplicação pode atualizar todas as propriedades no Azure Active Directory, incluindo os certificados e segredos de todas as aplicações; por conseguinte, pode criar um novo segredo de cliente e autenticar-se como esta aplicação.

Atualizar as credenciais da aplicação

Este indicador verifica as seguintes permissões que concedem acesso aos campos na página Certificados e segredos do registo da aplicação:

  • microsoft.directory/applications/credentials/update: Permite ao utilizador autorizado criar, atualizar e eliminar palavras-passe, certificados e segredos de cliente associados a aplicações de inquilino único e de vários inquilinos.

Esta permissão é normalmente concedida a aplicações que gerem ou mantêm outras aplicações no Azure AD.

  • microsoft.directory/applications.myOrganization/credentials/update: Permite ao utilizador autorizado criar, atualizar e eliminar palavras-passe, certificados e segredos de cliente em aplicações de inquilino único.

Utilização maliciosa

Deve-se ter cuidado ao atribuir permissões de atualização de credenciais de aplicações, uma vez que pode potencialmente permitir que as aplicações façam alterações às credenciais de outras aplicações, o que pode ter implicações de segurança. Ou seja, se um atacante obtiver este tipo de permissão, pode autenticar-se como a aplicação alvo.

Atualizar o proprietário da aplicação

Este código de segurança verifica as seguintes permissões que dão acesso aos campos da página Proprietários do registo de candidatura:

  • microsoft.directory/applications/owners/update: Permite que o utilizador autenticado actualize o proprietário em aplicações de inquilino único e de vários inquilinos. 
  • microsoft.directory/applications.myOrganization/owners/update: Permite que o utilizador autenticado actualize o proprietário em aplicações de inquilino único.

Utilização maliciosa

Como proprietário de uma aplicação, o utilizador tem controlo sobre os certificados e segredos de cliente que lhe permitem autenticar-se como aplicação.

Atualizar as permissões da aplicação

Este indicador de segurança verifica as seguintes permissões que concedem acesso ao arquivo nas permissões da API de registo da aplicação e nas páginas Expor uma API:

Utilização maliciosa

Um utilizador com permissões de atualização de permissões de aplicação pode solicitar permissões de API, mas sem o consentimento do administrador. Se o utilizador for capaz de coagir um administrador a conceder o consentimento do administrador, receberá estas permissões fortes. (Para ser útil a um atacante, isto requer acesso prévio a uma aplicação'

Privilegiado

Todas as permissões personalizadas que a Microsoft classifica como privilegiadas também são consideradas privilegiadas por nós. 

microsoft.directory/deviceManagementPolicies/basic/update

microsoft.directory/deviceRegistrationPolicy/basic/update

microsoft.directory/servicePrincipals/allProperties/update

microsoft.directory/servicePrincipals/credentials/update