在 Microsoft 驗證器通知中顯示更多背景資訊

MEDIUM

說明

Microsoft Authenticator 是 Microsoft 用於 MFA 和無密碼驗證的官方行動應用程式,通常作為 Entra ID 的驗證方法使用。

在收到 MFA 或無密碼驗證請求之後,該應用程式會傳送推播通知以顯示更多背景資訊,包括目標應用程式和嘗試登入的位置 (由 Microsoft 根據 IP 位址推斷)。此功能有助於使用者辨別通知是來自正當來源或為惡意攻擊。

此曝險指標 (IoE) 會檢查以下設定:

  • 「在推播和無密碼通知中顯示應用程式名稱」
  • 「在推播和無密碼通知中顯示地理位置」

兩項設定的預期安全值均為「已啟用」。中間值「Microsoft 管理」(在 Graph API 中為預設 ) 允許 Microsoft 根據日新月異的安全威脅版圖設定具體數值。但是,在 2024 年底導入此曝險指標 (IoE) 時,Microsoft 將這些設定設為「已停用」,因此根據預設不會將「Microsoft 管理」視為安全選項 (雖然您可以透過參數調整此行為)。

此功能針對 MFA 疲勞攻擊尤其有效,這類攻擊會以通知轟炸受害者,迫使受害者最終核准其中一項請求。額外的背景資訊有助於提高使用者的防範意識,使其更可能識別並拒絕惡意嘗試。

Microsoft 在設定 Microsoft Entra 以提高安全性中也建議「驗證器應用程式會顯示登入內容」。

解決方案

Tenable 建議您在 Microsoft Authenticator 驗證方法中將這兩項設定改為「已啟用」狀態:

  • 「在推播和無密碼通知中顯示應用程式名稱」
  • 「在推播和無密碼通知中顯示地理位置」

請參閱以下 Microsoft 說明文件,瞭解這些額外背景資訊的顯示方式及各種啟用方式指南:「如何在 Microsoft Authenticator 通知中使用額外背景資訊:驗證方法原則」。

誠如弱點說明所述,我們不建議採用「Microsoft 管理」狀態 (Graph API 的預設值),因為它目前的效果 (2024 年底) 等同於「已停用」。

如有需要,您可以將這些設定全域改為「已啟用」,同時使用「包含」和「排除」功能來指定「目標」群組。Tenable 建議使用「包含」功能的「所有使用者」選項,將這些設定套用至全體使用者。

指標詳細資料

名稱: 在 Microsoft 驗證器通知中顯示更多背景資訊

代碼名稱: SHOW-ADDITIONAL-CONTEXT-IN-MICROSOFT-AUTHENTICATOR-NOTIFICATIONS

嚴重性: Medium

類型: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 資訊: