Compartilhar via


Detetar e Remediar Concessões de Consentimento Ilícitas

Dica

Sabia que pode experimentar as funcionalidades do Microsoft Defender para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação em Experimentar Microsoft Defender para Office 365.

Resumo Saiba como reconhecer e remediar o ataque de concessões de consentimento ilícitos no Microsoft 365.

Num ataque de concessão de consentimento ilícito, o atacante cria uma aplicação registada no Azure que pede acesso a dados como informações de contacto, e-mail ou documentos. Em seguida, o atacante engana um utilizador final para conceder o consentimento da aplicação para aceder aos respetivos dados através de um ataque de phishing ou ao injetar código ilícito num site fidedigno. Após o consentimento da aplicação ilícita, esta tem acesso ao nível da conta aos dados sem a necessidade de uma conta organizacional. Os passos de remediação normais (por exemplo, a reposição de palavras-passe ou a necessidade de autenticação multifator (MFA)) não são eficazes face a este tipo de ataque, uma vez que estas aplicações são externas à organização.

Estes ataques utilizam um modelo de interação que presume que a entidade que chama as informações é automatização e não humana.

Importante

Suspeita que está a ter problemas com concessões de consentimento ilícitas de uma aplicação, neste momento? Microsoft Defender para Aplicativos de Nuvem tem ferramentas para detetar, investigar e remediar as suas aplicações OAuth. Este artigo Defender para Aplicativos de Nuvem tem um tutorial que descreve como investigar aplicações OAuth arriscadas. Também pode definir políticas de aplicações OAuth para investigar as permissões pedidas pela aplicação, quais os utilizadores que estão a autorizar estas aplicações e aprovar ou proibir amplamente estes pedidos de permissões.

Tem de procurar no registo de auditoria para encontrar sinais, também denominados Indicadores de Compromisso (COI) deste ataque. Para organizações com muitas aplicações registadas no Azure e uma grande base de utilizadores, a melhor prática é rever as concessões de consentimento da sua organização semanalmente.

Passos para encontrar sinais deste ataque

  1. Abra o portal Microsoft Defender em e, em https://security.microsoft.com seguida, selecione Auditoria. Ou para ir direto para a página Auditoria, use https://security.microsoft.com/auditlogsearch.

  2. Na página Auditoria , verifique se o separador Procurar está selecionado e, em seguida, configure as seguintes definições:

    • Intervalo de datas e horas
    • Atividades: verifique se a opção Mostrar resultados para todas as atividades está selecionada.

    Quando tiver terminado, selecione Procurar.

  3. Selecione a coluna Atividade para ordenar os resultados e procure Consentimento para a aplicação.

  4. Selecione uma entrada na lista para ver os detalhes da atividade. Verifique se IsAdminConsent está definido como Verdadeiro.

Observação

Pode demorar entre 30 minutos e 24 horas para que a entrada de registo de auditoria correspondente seja apresentada nos resultados da pesquisa após a ocorrência de um evento.

O período de tempo durante o qual um registo de auditoria é retido e pesquisável no registo de auditoria depende da sua subscrição do Microsoft 365 e, especificamente, do tipo de licença atribuída a um utilizador específico. Para obter mais informações, veja Registo de auditoria.

O valor é verdadeiro indica que alguém com acesso de Administrador Global pode ter concedido acesso amplo aos dados. Se este valor for inesperado, tome medidas para confirmar um ataque.

Como confirmar um ataque

Se tiver uma ou mais instâncias dos IOCs listados anteriormente, terá de fazer uma investigação mais aprofundada para confirmar positivamente que o ataque ocorreu. Pode utilizar qualquer um destes três métodos para confirmar o ataque:

  • Inventariar aplicações e as respetivas permissões com o centro de administração do Microsoft Entra. Este método é minucioso, mas só pode marcar um utilizador de cada vez que pode ser muito demorado se tiver muitos utilizadores para marcar.
  • Inventariar aplicações e as respetivas permissões com o PowerShell. Este é o método mais rápido e minucioso, com a menor quantidade de sobrecarga.
  • Peça aos seus utilizadores marcar individualmente as respetivas aplicações e permissões e comunique os resultados aos administradores para remediação.

Inventariar aplicações com acesso na sua organização

Tem as seguintes opções para inventariar aplicações para os seus utilizadores:

  • O centro de administração do Microsoft Entra.
  • PowerShell.
  • Peça aos seus utilizadores para enumerarem individualmente o seu próprio acesso à aplicação.

Passos para utilizar o centro de administração do Microsoft Entra

Pode procurar as aplicações às quais qualquer utilizador individual concedeu permissões com o centro de administração do Microsoft Entra:

  1. Abra o centro de administração do Microsoft Entra em e, em https://entra.microsoft.comseguida, aceda aUtilizadores> de Identidade>Todos os utilizadores. Em alternativa, para aceder diretamente a Utilizadores>Todos os utilizadores, utilize https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/.
  2. Localize e selecione o utilizador que pretende rever ao clicar no valor Nome a apresentar.
  3. Na página de detalhes do utilizador que é aberta, selecione Aplicações.

Estes passos mostram-lhe as aplicações atribuídas ao utilizador e as permissões que as aplicações têm.

Passos para que os seus utilizadores enumeram o respetivo acesso à aplicação

Peça aos seus utilizadores para acederem e reverem o acesso à https://myapps.microsoft.com sua própria aplicação. Devem conseguir ver todas as aplicações com acesso, ver detalhes sobre as mesmas (incluindo o âmbito de acesso) e poder revogar privilégios para aplicações suspeitas ou ilícitas.

Passos no PowerShell

A forma mais simples de verificar o ataque de Concessão de Consentimento Ilícito é executar Get-AzureADPSPermissions.ps1, que captura todas as concessões de consentimento OAuth e aplicações OAuth para todos os utilizadores no seu inquilino num único ficheiro .csv.

Pré-requisitos

  • A Azure AD biblioteca do PowerShell instalada.
  • Permissões de Administrador Global na organização onde o script é executado.
  • Permissões de Administrador Local no computador onde executa os scripts.

Importante

Recomendamos vivamente que necessite de autenticação multifator na sua conta de administrador. Este script suporta a autenticação MFA.

A Microsoft recomenda que você use funções com o menor número de permissões. A utilização de contas com permissões mais baixas ajuda a melhorar a segurança da sua organização. O Administrador Global é uma função altamente privilegiada que deve ser limitada a cenários de emergência quando não for possível usar uma função existente.

Observação

O Azure AD Powershell está previsto para ser substituído em 30 de março de 2024. Para saber mais, leia a atualização sobre substituição.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (anteriormente Azure AD). O Microsoft Graph PowerShell permite acesso a todas as APIs do Microsoft Graph e está disponível no PowerShell 7. Para obter respostas para consultas de migração comuns, consulte as perguntas frequentes sobre migração.

  1. Inicie sessão no computador onde pretende executar os scripts com direitos de administrador local.

  2. Transfira ou copie o script Get-AzureADPSPermissions.ps1 do GitHub para uma pasta que seja fácil de localizar e memorizar. Também é nesta pasta que precisa de escrever o ficheiro de saída "permissions.csv" escrito.

  3. Abra uma sessão elevada do PowerShell como administrador na pasta onde guardou o script.

  4. Ligue-se ao seu diretório com o cmdlet Connect-MgGraph .

  5. Execute este comando do PowerShell:

    .\Get-AzureADPSPermissions.ps1 | Export-csv -Path "Permissions.csv" -NoTypeInformation
    

O script produz um ficheiro com o nome Permissions.csv. Siga estes passos para procurar concessões de permissões de aplicação ilícitas:

  1. Na coluna ConsentType (coluna G), procure o valor "AllPrinciples". A permissão AllPrincipals permite que a aplicação cliente aceda aos conteúdos de todas as pessoas no inquilino. As aplicações nativas do Microsoft 365 precisam desta permissão para funcionar corretamente. Todas as aplicações que não sejam da Microsoft com esta permissão devem ser revistas cuidadosamente.

  2. Na coluna Permissão (coluna F), reveja as permissões que cada aplicação delegada tem para contentar. Procure a permissão "Ler" e "Escrever" ou a permissão "Todos" e reveja estas permissões cuidadosamente, uma vez que podem não ser adequadas.

  3. Reveja os utilizadores específicos que têm consentimentos concedidos. Se os utilizadores de alto perfil ou valor elevado tiverem consentimentos inadequados concedidos, deve investigar mais aprofundadamente.

  4. Na coluna ClientDisplayName (coluna C), procure aplicações que pareçam suspeitas. As aplicações com nomes mal escritos, nomes super brandos ou nomes que soem hackers devem ser revistas cuidadosamente.

Determinar o âmbito do ataque

Depois de concluir o inventário do acesso à aplicação, reveja o registo de auditoria para determinar o âmbito completo da falha. Procure os utilizadores afetados, os intervalos de tempo que a aplicação ilícita teve acesso à sua organização e as permissões que a aplicação tinha. Pode procurar no registo de auditoria no portal Microsoft Defender.

Importante

A auditoria da caixa de correio e a Auditoria de atividade para administradores e utilizadores devem ter sido ativadas antes do ataque para obter estas informações.

Depois de identificar a aplicação com permissões ilícitas, tem várias formas de remover esse acesso:

  • Pode revogar a permissão da aplicação no centro de administração do Microsoft Entra efetuando os seguintes passos:

    1. Abra o centro de administração do Microsoft Entra em e, em https://entra.microsoft.comseguida, aceda aUtilizadores> de Identidade>Todos os utilizadores. Em alternativa, para aceder diretamente a Utilizadores>Todos os utilizadores, utilize https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/.
    2. Localize e selecione o utilizador afetado ao clicar no valor Nome a apresentar.
    3. Na página de detalhes do utilizador que é aberta, selecione Aplicações.
    4. Na página Aplicações , selecione a aplicação ilícita ao clicar no valor Nome .
    5. Na página Detalhes da tarefa que é aberta, selecione Remover.
  • Pode revogar a concessão de consentimento OAuth com o PowerShell ao seguir os passos em Remove-MgOauth2PermissionGrant

  • Pode revogar a Atribuição de Função de Aplicação de Serviço com o PowerShell ao seguir os passos em Remove-MgServicePrincipalAppRoleAssignment.

  • Pode desativar o início de sessão para a conta afetada, o que desativa o acesso aos dados na conta pela aplicação. Esta ação não é ideal para a produtividade do utilizador, mas pode ser uma remediação a curto prazo para limitar rapidamente os resultados do ataque.

  • Pode desativar as aplicações integradas na sua organização. Esta acção é drástica. Embora impeça que os utilizadores concedam acidentalmente acesso a uma aplicação maliciosa, também impede que todos os utilizadores concedam consentimento a quaisquer aplicações. Não recomendamos esta ação porque prejudica gravemente a produtividade dos utilizadores com aplicações de terceiros. Pode desativar as aplicações integradas ao seguir os passos em Ativar ou desativar As Aplicações Integradas.

Confira também