Detetar e Remediar Concessões de Consentimento Ilícitas

Sugestão

Sabia que pode experimentar as funcionalidades no Microsoft Defender XDR para Office 365 Plano 2 gratuitamente? Utilize a avaliação de Defender para Office 365 de 90 dias no hub de avaliações do portal Microsoft Defender. Saiba mais sobre quem pode inscrever-se e os termos de avaliação aqui.

Resumo Saiba como reconhecer e remediar o ataque de concessões de consentimento ilícitos no Microsoft 365.

Num ataque de concessão de consentimento ilícito, o atacante cria uma aplicação registada no Azure que pede acesso a dados como informações de contacto, e-mail ou documentos. Em seguida, o atacante engana um utilizador final para conceder o consentimento da aplicação para aceder aos respetivos dados através de um ataque de phishing ou ao injetar código ilícito num site fidedigno. Após o consentimento da aplicação ilícita, esta tem acesso ao nível da conta aos dados sem a necessidade de uma conta organizacional. Os passos de remediação normais (por exemplo, a reposição de palavras-passe ou a necessidade de autenticação multifator (MFA)) não são eficazes face a este tipo de ataque, uma vez que estas aplicações são externas à organização.

Estes ataques utilizam um modelo de interação que presume que a entidade que chama as informações é automatização e não humana.

Importante

Suspeita que está a ter problemas com concessões de consentimento ilícitas de uma aplicação, neste momento? Microsoft Defender for Cloud Apps tem ferramentas para detetar, investigar e remediar as suas aplicações OAuth. Este artigo do Defender para Cloud Apps tem um tutorial que descreve como investigar aplicações OAuth arriscadas. Também pode definir políticas de aplicações OAuth para investigar as permissões pedidas pela aplicação, quais os utilizadores que estão a autorizar estas aplicações e aprovar ou proibir amplamente estes pedidos de permissões.

Tem de procurar no registo de auditoria para encontrar sinais, também denominados Indicadores de Compromisso (COI) deste ataque. Para organizações com muitas aplicações registadas no Azure e uma grande base de utilizadores, a melhor prática é rever as concessões de consentimento da sua organização semanalmente.

Passos para encontrar sinais deste ataque

  1. Abra o portal Microsoft Defender em e, em https://security.microsoft.com seguida, selecione Auditoria. Em alternativa, para aceder diretamente à página Auditoria, utilize https://security.microsoft.com/auditlogsearch.

  2. Na página Auditoria, verifique se o separador Pesquisa está selecionado e, em seguida, configure as seguintes definições:

    • Intervalo de datas e horas
    • Atividades: verifique se a opção Mostrar resultados para todas as atividades está selecionada.

    Quando terminar, selecione Pesquisa.

  3. Selecione a coluna Atividade para ordenar os resultados e procure Consentimento para a aplicação.

  4. Selecione uma entrada na lista para ver os detalhes da atividade. Verifique se IsAdminConsent está definido como Verdadeiro.

Nota

Pode demorar entre 30 minutos e 24 horas para que a entrada de registo de auditoria correspondente seja apresentada nos resultados da pesquisa após a ocorrência de um evento.

O período de tempo durante o qual um registo de auditoria é retido e pesquisável no registo de auditoria depende da sua subscrição do Microsoft 365 e, especificamente, do tipo de licença atribuída a um utilizador específico. Para obter mais informações, veja Registo de auditoria.

O valor é verdadeiro indica que alguém com acesso de Administrador Global pode ter concedido acesso amplo aos dados. Se este valor for inesperado, tome medidas para confirmar um ataque.

Como confirmar um ataque

Se tiver uma ou mais instâncias dos IOCs listados anteriormente, terá de fazer uma investigação mais aprofundada para confirmar positivamente que o ataque ocorreu. Pode utilizar qualquer um destes três métodos para confirmar o ataque:

  • Inventariar aplicações e as respetivas permissões com o centro de administração Microsoft Entra. Este método é minucioso, mas só pode verificar um utilizador de cada vez que pode ser muito demorado se tiver muitos utilizadores para verificar.
  • Inventariar aplicações e as respetivas permissões com o PowerShell. Este é o método mais rápido e minucioso, com a menor quantidade de sobrecarga.
  • Peça aos seus utilizadores que verifiquem individualmente as respetivas aplicações e permissões e comuniquem os resultados aos administradores para remediação.

Inventariar aplicações com acesso na sua organização

Tem as seguintes opções para inventariar aplicações para os seus utilizadores:

  • O centro de administração Microsoft Entra.
  • PowerShell.
  • Peça aos seus utilizadores para enumerarem individualmente o seu próprio acesso à aplicação.

Passos para utilizar o centro de administração Microsoft Entra

Pode procurar as aplicações às quais qualquer utilizador individual concedeu permissões ao utilizar o centro de administração Microsoft Entra:

  1. Abra o centro de administração Microsoft Entra em e, em https://entra.microsoft.comseguida, aceda aUtilizadores> de Identidade> *Todos os utilizadores. Em alternativa, para aceder diretamente a Utilizadores>Todos os utilizadores, utilize https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/.
  2. Localize e selecione o utilizador que pretende rever ao clicar no valor Nome a apresentar.
  3. Na página de detalhes do utilizador que é aberta, selecione Aplicações.

Estes passos mostram-lhe as aplicações atribuídas ao utilizador e as permissões que as aplicações têm.

Passos para que os seus utilizadores enumeram o respetivo acesso à aplicação

Peça aos seus utilizadores para acederem e reverem o acesso à https://myapps.microsoft.com sua própria aplicação. Devem conseguir ver todas as aplicações com acesso, ver detalhes sobre as mesmas (incluindo o âmbito de acesso) e poder revogar privilégios para aplicações suspeitas ou ilícitas.

Passos no PowerShell

A forma mais simples de verificar o ataque de Concessão de Consentimento Ilícito é executar Get-AzureADPSPermissions.ps1, que captura todas as concessões de consentimento OAuth e aplicações OAuth para todos os utilizadores no seu inquilino num único ficheiro .csv.

Pré-requisitos

  • A Azure AD biblioteca do PowerShell instalada.
  • Permissões de Administrador Global na organização onde o script é executado.
  • Permissões de Administrador Local no computador onde executa os scripts.

Importante

Recomendamos vivamente que necessite de autenticação multifator na sua conta de administrador. Este script suporta a autenticação MFA.

Nota

Azure AD e os módulos do PowerShell do MSOnline são preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de preterição. Após esta data, o suporte para estes módulos está limitado à assistência de migração para o SDK do PowerShell do Microsoft Graph e correções de segurança. Os módulos preteridos continuarão a funcionar até 30 de março de 2025.

Recomendamos que migre para o Microsoft Graph PowerShell para interagir com Microsoft Entra ID (anteriormente Azure AD). Para perguntas de migração comuns, veja as FAQ sobre Migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.

  1. Inicie sessão no computador onde pretende executar os scripts com direitos de administrador local.

  2. Transfira ou copie o script Get-AzureADPSPermissions.ps1 do GitHub para uma pasta que seja fácil de localizar e memorizar. Também é nesta pasta que precisa de escrever o ficheiro de saída "permissions.csv" escrito.

  3. Abra uma sessão elevada do PowerShell como administrador na pasta onde guardou o script.

  4. Ligue-se ao seu diretório com o cmdlet Connect-MgGraph .

  5. Execute este comando do PowerShell:

    .\Get-AzureADPSPermissions.ps1 | Export-csv -Path "Permissions.csv" -NoTypeInformation

O script produz um ficheiro com o nome Permissions.csv. Siga estes passos para procurar concessões de permissões de aplicação ilícitas:

  1. Na coluna ConsentType (coluna G), procure o valor "AllPrinciples". A permissão AllPrincipals permite que a aplicação cliente aceda aos conteúdos de todas as pessoas no inquilino. As aplicações nativas do Microsoft 365 precisam desta permissão para funcionar corretamente. Todas as aplicações que não sejam da Microsoft com esta permissão devem ser revistas cuidadosamente.

  2. Na coluna Permissão (coluna F), reveja as permissões que cada aplicação delegada tem para contentar. Procure a permissão "Ler" e "Escrever" ou a permissão "Todos" e reveja estas permissões cuidadosamente, uma vez que podem não ser adequadas.

  3. Reveja os utilizadores específicos que têm consentimentos concedidos. Se os utilizadores de alto perfil ou valor elevado tiverem consentimentos inadequados concedidos, deve investigar mais aprofundadamente.

  4. Na coluna ClientDisplayName (coluna C), procure aplicações que pareçam suspeitas. As aplicações com nomes mal escritos, nomes super brandos ou nomes que soem hackers devem ser revistas cuidadosamente.

Determinar o âmbito do ataque

Depois de concluir o inventário do acesso à aplicação, reveja o registo de auditoria para determinar o âmbito completo da falha. Pesquisa nos utilizadores afetados, os intervalos de tempo que a aplicação ilícita tinha acesso à sua organização e as permissões que a aplicação tinha. Pode procurar no registo de auditoria no portal Microsoft Defender.

Importante

A auditoria da caixa de correio e a Auditoria de atividade para administradores e utilizadores devem ter sido ativadas antes do ataque para obter estas informações.

Depois de identificar a aplicação com permissões ilícitas, tem várias formas de remover esse acesso:

  • Pode revogar a permissão da aplicação no centro de administração Microsoft Entra efetuando os seguintes passos:

    1. Abra o centro de administração Microsoft Entra em e, em https://entra.microsoft.comseguida, aceda aUtilizadores> de Identidade> *Todos os utilizadores. Em alternativa, para aceder diretamente a Utilizadores>Todos os utilizadores, utilize https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/.
    2. Localize e selecione o utilizador afetado ao clicar no valor Nome a apresentar.
    3. Na página de detalhes do utilizador que é aberta, selecione Aplicações.
    4. Na página Aplicações , selecione a aplicação ilícita ao clicar no valor Nome .
    5. Na página Detalhes da tarefa que é aberta, selecione Remover.

  • Pode revogar a concessão de consentimento OAuth com o PowerShell ao seguir os passos em Remove-MgOauth2PermissionGrant

  • Pode revogar a Atribuição de Função de Aplicação de Serviço com o PowerShell ao seguir os passos em Remove-MgServicePrincipalAppRoleAssignment.

  • Pode desativar o início de sessão para a conta afetada, o que desativa o acesso aos dados na conta pela aplicação. Esta ação não é ideal para a produtividade do utilizador, mas pode ser uma remediação a curto prazo para limitar rapidamente os resultados do ataque.

  • Pode desativar as aplicações integradas na sua organização. Esta acção é drástica. Embora impeça que os utilizadores concedam acidentalmente acesso a uma aplicação maliciosa, também impede que todos os utilizadores concedam consentimento a quaisquer aplicações. Não recomendamos esta ação porque prejudica gravemente a produtividade dos utilizadores com aplicações de terceiros. Pode desativar as aplicações integradas ao seguir os passos em Ativar ou desativar As Aplicações Integradas.

Consulte também