應用程式的非受限使用者同意

MEDIUM

說明

Entra ID 建置了 OAuth 2.0 委派機制,允許使用者同意任何第三方應用程式的請求。如此一來,這些應用程式不但能夠獲得使用者個人資料的存取權,也有權存取使用者可以取得的組織資料。

攻擊者已謀劃利用惡意應用程式發動社交工程攻擊,他們通常會將這類應用程式偽裝成正當的商業應用程式並請求機密內容的權限。一旦授予這些權限,攻擊者就可以竊取資料或代表使用者執行動作。這類攻擊稱為「非法同意授予」或「同意網路釣魚」。

Entra ID 提供三種應用程式的使用者同意選項:

  • 「不允許使用者同意」: 此為最安全的選項。
  • 「允許使用者同意來自已驗證發行者的應用程式,但僅限特定權限」: Microsoft 建議使用此中間選項,因為這只會授予機密性較低內容的權限,並且僅允許存取來自「已驗證發行者」的應用程式,因此可以降低風險。
  • 「允許使用者同意應用程式」: 根據預設,這個安全性最低的選項允許使用者同意任何應用程式 (包括外部應用程式) 的大多數權限 (管理員專屬權限除外)。

根據預設,曝險指標 (IoE) 只會將 Entra ID 中安全性較低的選項標記為不正確。如果想提升安全敏感度,可以啟用曝險指標 (IoE) 的「嚴格」選項,這會標記安全性較低和中等 Entra ID 選項。

根據 BOD 25-01 的強制要求,CISA 發布的「Microsoft Entra ID 的 M365 安全設定基準」中所列的 MS.AAD.5.2v1 原則規定「應僅允許管理員同意應用程式請求」。

解決方案

Tenable 建議您遵循 Microsoft 的建議,至少選擇中間選項:「允許使用者同意來自已驗證發行者的應用程式,但僅限特定權限」。對於安全要求更嚴格的組織,您可以選擇最安全的選項:「不允許使用者同意」。

啟用限制需要具有特定角色的 Microsoft Entra 管理員來管理應用程式的同意情況並評估同意請求。他們還必須審查其他管理員的同意請求,這會增加他們的工作量。請確保他們接受適當的培訓,僅會核准正當應用程式和授予適當權限。

請參閱 Microsoft 指南,瞭解如何設定使用者對應用程式的同意方式。本指南內含 Microsoft Entra 系統管理中心、Microsoft Graph PowerShell 或 Microsoft Graph API 的使用說明。

變更選取的選項不會撤銷先前的同意。​因此,如果您懷疑社交工程攻擊可能已利用此機制,請務必小心。您可以參考「影響租用戶的危險 API 權限」和「影響資料的危險 API 權限」曝險指標 (IoE) 的結果,以識別潛在的惡意權限或過度授權行為。

您也可以考慮啟用「風險導向的逐步同意」。

指標詳細資料

名稱: 應用程式的非受限使用者同意

代碼名稱: UNRESTRICTED-USER-CONSENT-FOR-APPLICATIONS

嚴重性: Medium

類型: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 資訊: