Ensure the device code sign-in flow is blocked
Защо това е важно
Нападателите активно експлоатират потока за удостоверяване с код на устройство във фишинг кампании, като най-забележителен е Storm-2372, който използва "device code phishing" от август 2024 г. Тази атака подвежда потребителите да влязат в продуктивни приложения на отделно устройство, което позволява на заплахите да прихванат токени за удостоверяване и да получат неоторизиран достъп до акаунти. Блокирането на потока за вход с код на устройство намалява излагането на този разрастващ се вектор на атака и предотвратява кражбата на токени от устройства с ограничен вход извън вашия контрол.
Какво проверява Aether365
Aether365 проверява дали вашият Microsoft Entra ID tenant има конфигурирана политика за Conditional Access, която блокира потока за удостоверяване с код на устройство. Тази проверка се появява в таблото на Aether365 под entra-id checks и отбелязва настройката като неспазваща изискванията, ако потокът не е изрично блокиран.
Как да поправите
- Влезте в Azure Portal и отворете Microsoft Entra ID от горното ляво меню на портала.
- В лявото навигационно меню превъртете надолу и изберете Security, след което изберете Conditional Access.
- Кликнете върху + New policy, за да създадете нова политика за Conditional Access.
- Под Assignments изберете All users и All cloud apps.
- Под Conditions отидете на Authentication flows и задайте Configure на Yes.
- За Device code flow изберете Block access.
- Под Access controls изберете Block и активирайте политиката.
- Задайте политиката на On и кликнете върху Create.
Съответствие
- CIS Microsoft 365 Foundations Benchmark 5.0.0 5.2.2.12 (E3 Level 1)
- CIS Microsoft 365 Foundations Benchmark 5.0.0 5.2.2.12 (E5 Level 1)
Свързани ресурси
- Microsoft identity platform and OAuth 2.0 device authorization grant flow
- Conditional Access authentication flows
- Secure your device code auth flows now
- Storm-2372 conducts device code phishing campaign
- Block authentication flows with Conditional Access