Erkennen und Beheben unzulässiger Zustimmungserteilungen

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Defender for Office 365 Testversion auf dem Microsoft Defender Portal-Testversionshub. Hier erfahren Sie, wer sich registrieren und testen kann.

Zusammenfassung Erfahren Sie, wie Sie den Angriff auf illegale Zustimmungserteilungen in Microsoft 365 erkennen und beheben.

Bei einem Angriff mit unerlaubter Zustimmungserteilung erstellt der Angreifer eine in Azure registrierte Anwendung, die Zugriff auf Daten wie Kontaktinformationen, E-Mails oder Dokumente anfordert. Der Angreifer vertrickt dann einen Endbenutzer dazu, dieser Anwendung die Einwilligung für den Zugriff auf ihre Daten zu erteilen, entweder durch einen Phishingangriff oder durch Einfügen von illegalem Code in eine vertrauenswürdige Website. Nachdem der unzulässigen Anwendung die Zustimmung erteilt wurde, hat sie Zugriff auf Daten auf Kontoebene, ohne dass ein Organisationskonto erforderlich ist. Normale Korrekturschritte, z. B. das Zurücksetzen von Kennwörtern für verletzte Konten oder das Anfordern von Multi-Factor Authentication (MFA) für Konten, sind gegen diese Art von Angriff nicht wirksam, da es sich um Drittanbieteranwendungen handelt und die organization außerhalb der organization sind.

Diese Angriffe nutzen ein Interaktionsmodell, bei dem davon ausgegangen wird, dass die Entität, die die Informationen aufruft, Automatisierung und kein Mensch ist.

Wichtig

Vermuten Sie, dass gerade Probleme mit unzulässigen Zustimmungserteilungen von einer App auftreten? Microsoft Defender for Cloud Apps verfügt über Tools zum Erkennen, Untersuchen und Korrigieren Ihrer OAuth-Apps. Dieser Artikel zu Defender für Cloud-Apps enthält ein Tutorial, in dem beschrieben wird, wie Sie riskante OAuth-Apps untersuchen. Sie können auch OAuth-App-Richtlinien festlegen, um von der App angeforderte Berechtigungen zu untersuchen, welche Benutzer diese Apps autorisieren, und diese Berechtigungsanforderungen allgemein genehmigen oder sperren.

Sie müssen das Überwachungsprotokoll durchsuchen, um Anzeichen für diesen Angriff zu finden, die auch als Indikatoren der Kompromittierung (Indicators of Compromise, IOC) bezeichnet werden. Für Organisationen mit vielen in Azure registrierten Anwendungen und einer großen Benutzerbasis besteht die bewährte Methode darin, die Zustimmungsgewährungen Ihrer Organisation wöchentlich zu überprüfen.

Schritte zum Auffinden von Anzeichen für diesen Angriff

  1. Öffnen Sie das Microsoft Defender-Portal unter, https://security.microsoft.com und wählen Sie dann Überwachen aus. Oder verwenden Sie https://security.microsoft.com/auditlogsearch, um direkt zur Seite Überwachung zu wechseln.

  2. Vergewissern Sie sich auf der Seite Überwachung, dass die Registerkarte Suchen ausgewählt ist, und konfigurieren Sie dann die folgenden Einstellungen:

    • Datums- und Zeitbereich
    • Aktivitäten: Vergewissern Sie sich, dass Ergebnisse für alle Aktivitäten anzeigen ausgewählt ist.

    Wenn Sie den Vorgang abgeschlossen haben, klicken Sie auf Suchen.

  3. Klicken Sie auf die Spalte Aktivität , um die Ergebnisse zu sortieren, und suchen Sie nach Zustimmung zur Anwendung.

  4. Wählen Sie einen Eintrag aus der Liste aus, um die Details der Aktivität anzuzeigen. Überprüfen Sie, ob IsAdminConsent auf True festgelegt ist.

Hinweis

Es kann 30 Minuten bis zu 24 Stunden dauern, bis der entsprechende Überwachungsprotokolleintrag in den Suchergebnissen angezeigt wird, nachdem ein Ereignis aufgetreten ist.

Die Dauer, in der ein Überwachungsdatensatz aufbewahrt und im Überwachungsprotokoll durchsuchbar ist, hängt von Ihrem Microsoft 365-Abonnement und insbesondere vom Typ der Lizenz ab, die einem bestimmten Benutzer zugewiesen ist. Weitere Informationen finden Sie unter Überwachungsprotokoll.

Wenn dieser Wert true ist, weist dies darauf hin, dass jemand mit Global Administrator-Zugriff möglicherweise umfassenden Zugriff auf Daten gewährt hat. Wenn dies unerwartet ist, führen Sie Schritte aus, um einen Angriff zu bestätigen.

Bestätigen eines Angriffs

Wenn Sie über eine oder mehrere Instanzen der oben aufgeführten IOCs verfügen, müssen Sie weitere Untersuchungen durchführen, um zu bestätigen, dass der Angriff stattgefunden hat. Sie können eine der folgenden drei Methoden verwenden, um den Angriff zu bestätigen:

  • Inventarisieren Sie Anwendungen und ihre Berechtigungen mithilfe der Microsoft Entra Admin Center. Diese Methode ist gründlich, aber Sie können nur einen Benutzer gleichzeitig überprüfen, was sehr zeitaufwändig sein kann, wenn Sie viele Benutzer zu überprüfen haben.
  • Inventarisieren von Anwendungen und deren Berechtigungen mithilfe von PowerShell. Dies ist die schnellste und gründlichste Methode mit dem geringsten Aufwand.
  • Bitten Sie Ihre Benutzer, ihre Apps und Berechtigungen einzeln zu überprüfen und die Ergebnisse zur Behebung an die Administratoren zurückzugeben.

Inventarisieren von Apps mit Zugriff in Ihrem organization

Sie können dies für Ihre Benutzer entweder mit dem Microsoft Entra Admin Center oder Mit PowerShell tun oder Ihre Benutzer einzeln ihren Anwendungszugriff aufzählen lassen.

Schritte zur Verwendung des Microsoft Entra Admin Center

Sie können die Anwendungen, für die ein einzelner Benutzer Berechtigungen erteilt hat, mithilfe der Microsoft Entra Admin Center unter https://portal.azure.comnachschlagen.

  1. Melden Sie sich beim Azure-Portal mit Administratorrechten an.
  2. Wählen Sie das Blatt Microsoft Entra ID aus.
  3. Wählen Sie Benutzer aus.
  4. Wählen Sie den Benutzer aus, den Sie überprüfen möchten.
  5. Wählen Sie Anwendungen aus.

Dadurch werden die Apps angezeigt, die dem Benutzer zugewiesen sind, und welche Berechtigungen die Anwendungen besitzen.

Schritte zum Auflisten des Anwendungszugriffs durch Ihre Benutzer

Bitten Sie Ihre Benutzer, dort ihren eigenen Anwendungszugriff zu https://myapps.microsoft.com überprüfen. Sie sollten in der Lage sein, alle Apps mit Zugriff anzuzeigen, Details zu ihnen (einschließlich des Umfangs des Zugriffs) anzuzeigen und Berechtigungen für verdächtige oder unzulässige Apps zu widerrufen.

Schritte für die Vorgehensweise mit PowerShell

Die einfachste Möglichkeit zum Überprüfen des Angriffs auf unzulässige Zustimmungsgewährungen besteht darin, Get-AzureADPSPermissions.ps1auszuführen, der alle OAuth-Zustimmungserteilungen und OAuth-Apps für alle Benutzer in Ihrem Mandanten in einer .csv Datei abspeichert.

Voraussetzungen

  • Die Azure AD PowerShell-Bibliothek ist installiert.
  • globaler Administrator Rechte für den Mandanten, für den das Skript ausgeführt wird.
  • Lokaler Administrator auf dem Computer, auf dem die Skripts ausgeführt werden.

Wichtig

Es wird dringend empfohlen , dass Sie die mehrstufige Authentifizierung für Ihr Administratorkonto benötigen. Dieses Skript unterstützt die MFA-Authentifizierung.

Hinweis

Azure AD PowerShell soll am 30. März 2024 eingestellt werden. Weitere Informationen finden Sie im Veralteten Update.

Es wird empfohlen, zu Microsoft Graph PowerShell zu migrieren, um mit Microsoft Entra ID (früher Azure AD) zu interagieren. Microsoft Graph PowerShell ermöglicht den Zugriff auf alle Microsoft Graph-APIs und ist in PowerShell 7 verfügbar. Antworten auf häufig verwendete Migrationsabfragen finden Sie unter Häufig gestellte Fragen zur Migration.

  1. Melden Sie sich mit lokalen Administratorrechten bei dem Computer an, auf dem Sie das Skript ausführen möchten.

  2. Laden Sie das Get-AzureADPSPermissions.ps1 Skript aus GitHub herunter, oder kopieren Sie es in einen Ordner, in dem Sie das Skript ausführen. Dies ist der gleiche Ordner, in den die Ausgabedatei "permissions.csv" geschrieben wird.

  3. Öffnen Sie eine PowerShell-Sitzung als Administrator, und öffnen Sie den Ordner, in dem Sie das Skript gespeichert haben.

  4. Stellen Sie mithilfe des Cmdlets Connect-AzureAD eine Verbindung mit Ihrem Verzeichnis her.

  5. Führen Sie diesen PowerShell-Befehl aus:

    .\Get-AzureADPSPermissions.ps1 | Export-csv -Path "Permissions.csv" -NoTypeInformation
    

Das Skript erzeugt eine Datei mit dem Namen Permissions.csv. Führen Sie die folgenden Schritte aus, um nach unzulässigen Anwendungsberechtigungen zu suchen:

  1. Suchen Sie in der Spalte ConsentType (Spalte G) nach dem Wert "AllPrinciples". Die AllPrincipals-Berechtigung ermöglicht der Clientanwendung den Zugriff auf die Inhalte aller Personen im Mandanten. Native Microsoft 365-Anwendungen benötigen diese Berechtigung, um ordnungsgemäß zu funktionieren. Jede Nicht-Microsoft-Anwendung mit dieser Berechtigung sollte sorgfältig überprüft werden.

  2. Überprüfen Sie in der Spalte Berechtigung (Spalte F) die Berechtigungen, die jede delegierte Anwendung zum Inhalt hat. Suchen Sie nach den Berechtigungen "Lesen" und "Schreiben" oder "Alle", und überprüfen Sie diese sorgfältig, da sie möglicherweise nicht geeignet sind.

  3. Überprüfen Sie die spezifischen Benutzer, denen Zustimmungen erteilt wurden. Wenn benutzern mit hohem Profil oder mit hoher Auswirkung unangemessene Einwilligungen erteilt wurden, sollten Sie dies weiter untersuchen.

  4. Suchen Sie in der Spalte ClientDisplayName (Spalte C) nach Apps, die verdächtig erscheinen. Apps mit falsch geschriebenen Namen, super faden Namen oder Hacker-klingenden Namen sollten sorgfältig überprüft werden.

Bestimmen des Umfangs des Angriffs

Nachdem Sie die Bestandsaufnahme des Anwendungszugriffs abgeschlossen haben, überprüfen Sie das Überwachungsprotokoll , um den gesamten Umfang der Sicherheitsverletzung zu ermitteln. Suchen Sie nach den betroffenen Benutzern, den Zeitrahmen, in denen die illegale Anwendung Zugriff auf Ihre organization hatte, und die Berechtigungen, die die App hatte. Sie können das Überwachungsprotokoll im Microsoft Defender-Portal durchsuchen.

Wichtig

Postfachüberwachung und Aktivitätsüberwachung für Administratoren und Benutzer müssen vor dem Angriff aktiviert worden sein, damit Sie diese Informationen erhalten können.

Nachdem Sie eine Anwendung mit unzulässigen Berechtigungen identifiziert haben, haben Sie mehrere Möglichkeiten, diesen Zugriff zu entfernen.

  • Sie können die Berechtigung der Anwendung im Microsoft Entra Admin Center wie folgt widerrufen:

    1. Navigieren Sie auf dem Blatt Microsoft Entra Benutzer zum betroffenen Benutzer.
    2. Wählen Sie Anwendungen aus.
    3. Wählen Sie die unzulässige Anwendung aus.
    4. Klicken Sie im Drilldown auf Entfernen .
  • Sie können die OAuth-Zustimmungsgewährung mit PowerShell widerrufen, indem Sie die Schritte unter Remove-AzureADOAuth2PermissionGrant ausführen.

  • Sie können die Rollenzuweisung der Dienst-App mit PowerShell widerrufen, indem Sie die Schritte unter Remove-AzureADServiceAppRoleAssignment ausführen.

  • Sie können die Anmeldung für das betroffene Konto auch vollständig deaktivieren, wodurch wiederum der App-Zugriff auf Daten in diesem Konto deaktiviert wird. Dies ist natürlich nicht ideal für die Produktivität des Endbenutzers, aber wenn Sie daran arbeiten, die Auswirkungen schnell zu begrenzen, kann dies eine praktikable kurzfristige Korrektur sein.

  • Sie können integrierte Anwendungen für Ihren Mandanten deaktivieren. Dies ist ein drastischer Schritt, der endbenutzern die Möglichkeit deaktiviert, mandantenweite Zustimmung zu erteilen. Dies verhindert, dass Ihre Benutzer versehentlich Zugriff auf eine böswillige Anwendung gewähren. Dies wird nicht dringend empfohlen, da dies die Fähigkeit Ihrer Benutzer, mit Anwendungen von Drittanbietern produktiv zu arbeiten, stark beeinträchtigt. Führen Sie dazu die Schritte unter Aktivieren oder Deaktivieren integrierter Apps aus.

Siehe auch