Apps with high-risk permissions having an indirect path to Global Admin
De ce contează acest lucru
Aplicațiile cu permisiuni de tip Graph cu risc ridicat pot crea o cale indirectă către rolul de Administrator Global, permițând preluarea completă a tenantului de către un atacator. Dacă o aplicație are permisiuni de nivel 0, un atacator care îi compromite credentialele sau secretele poate escalada privilegii fără o atribuire directă. Acest risc este deosebit de periculos deoarece ocolește controalele administrative standard și poate rămâne nedetectat perioade îndelungate.
Ce verifică Aether365
Această verificare identifică aplicațiile din tenantul dumneavoastră Microsoft 365 cărora le sunt atribuite permisiuni Microsoft Graph de nivel 0 și care ar putea oferi o cale indirectă către Administrator Global. În tabloul de bord Aether365, în secțiunea de verificări microsoft-365, scanăm toate aplicațiile înregistrate și marcăm pe cele cu seturi de permisiuni cu risc ridicat ce pot permite escaladarea privilegiilor.
Cum se remediază
Examinați permisiunile aplicațiilor utilizând Microsoft Entra admin center.
- Conectați-vă la Microsoft Entra admin center.
- Navigați la Identity, apoi Applications și selectați All applications.
- Localizați aplicația marcată și deschideți detaliile acesteia.
- Accesați API permissions și examinați permisiunile Microsoft Graph listate.
- Eliminați orice permisiuni cu risc ridicat care nu sunt strict necesare pentru funcționarea aplicației.
- Verificați că doar utilizatorii și serviciile autorizate au acces la aplicație și la secretele sau certificatele acesteia.
Conformitate
Această verificare nu se aliniază direct unui cadru specific de conformitate, dar susține practicile recomandate de securitate promovate de Microsoft și CISA pentru limitarea permisiunilor cu risc ridicat ale aplicațiilor.
Resurse conexe
- Microsoft Graph permissions reference
- Privileged identity management for applications
- Secure application access in Microsoft Entra ID