Microsoft 在 Entra ID 中公開 API，以允許第三方應用程式在 Microsoft 服務中執行動作。特定權限可能會對整個 Microsoft Entra 租用戶帶來嚴重威脅。因此，必須仔細審查這些權限的指派情況。

Microsoft 透過 Entra ID 中的應用程式公開 API，以允許第三方應用程式在 Microsoft Entra ID 本身、Microsoft 365 (O365)、Azure 雲端等產品中執行動作。「API 權限」會保護這些 API 的存取權，只有需要這些 API 的服務主體才能擁有權限。此權限核准程序叫做「應用程式角色指派」或「同意授予」。
若服務主體擁有某些 Microsoft API 的特定權限 (請見下文)，可能會對整個 Microsoft Entra 租用戶帶來嚴重威脅​，因為服務主體會擁有強大的權限，卻同時比高權限管理員角色 (例如全域管理員) 不顯眼。攻擊者可濫用這一點繞過多因素驗證 (MFA) 並阻止使用者重設密碼。
在正當的情況下，權限會增加租用戶的攻擊破綻。在不正當的情況下，可能是提升權限或長期潛伏等惡意嘗試。
如 Microsoft 說明文件<a href="https://learn.microsoft.com/en-us/azure/active-directory/develop/permissions-consent-overview">權限和同意簡介</a>所述，Microsoft Entra ID 有兩種類型的 API 權限:
<ul>
<li>應用程式權限: 由管理員同意，權限適用於所有租用戶。</li>
<li>委派權限: 由使用者或代表整個組織的管理員同意。請注意，這些權限會根據登入使用者的特權 (即權限和使用者特權等級的交集) 限制應用程式執行動作的能力。因此，正如<a href="https://learn.microsoft.com/en-us/security/zero-trust/develop/developer-strategy-delegated-permission">制定委派權限策略</a> 中所述，這些委派權限的危險性取決於應用程式使用者的實際權限。例如: 如果普通使用者委派了「Group.ReadWrite.All」權限，實際上會允許應用程式只修改使用者可以編輯的群組，而不是所有群組。</li>
</ul>
本曝險指標會檢查這兩種類型的權限，並只會報告有關服務主體的內容，因為 API 權限僅適用於服務主體而非使用者。
本曝險指標也會著重於允許存取 <a href="https://learn.microsoft.com/en-us/graph/overview">Microsoft Graph API</a> 和舊型 <a href="https://learn.microsoft.com/en-us/graph/migrate-azure-ad-graph-overview">Azure AD Graph API</a> 的權限。具體而言，下列危險權限會帶來安全性風險:
<ul>
<li><code>RoleManagement.ReadWrite.Directory</code>: 允許攻擊者將自己升級為全域管理員角色</li>
<li><code>AppRoleAssignment.ReadWrite.All</code>: 允許攻擊者授予自己 <code>RoleManagement.ReadWrite.Directory</code> 權限 (請見上文)。</li>
</ul>
擁有這些危險權限的正當應用程式要求可能過於廣泛的權限。這也可能表示出現一種叫做「非法同意授予」的網路釣魚攻擊，在這種攻擊中，攻擊者會成功取得管理員同意。

Phishing

Steal Application Access Token

Use Alternate Authentication Material: Application Access Token

[MITRE ATT&CK®] T1566 (Phishing)

[MITRE ATT&CK®] T1528 (Steal Application Access Token)

[MITRE ATT&CK®] T1550.001 (Use Alternate Authentication Material: Application Access Token)

影響租用戶的危險 API 權限

第一方服務主體擁有強大權限，然而因為他們處於隱藏狀態、數量眾多，且為 Microsoft 所有，因而會被忽略。攻擊者會將憑證新增至主體，以隱蔽地利用主體特權來提升權限和進行長期潛伏。

第一方服務主體 (企業應用程式) 來自屬於 Microsoft 的應用程式 (應用程式註冊)。它們大多數在 Microsoft Entra ID 中擁有在安全性檢查中經常被忽略的機密權限。攻擊者可藉此將憑證新增至這些主體，以隱蔽地利用主體特權。​
因為擁有應用程式管理員角色的主體可以將憑證新增至應用程式 (包括擁有更高特權的應用程式)，所以這項技術使攻擊者能夠長期潛伏​和提升權限​。
除極少數情況外 (請參閱「建議」)，第一方服務主體不應擁有任何憑證。
APT29 威脅集團曾在 2020 年 12 月濫用此方法對 SolarWinds 發動惡名昭彰的「Solorigate」攻擊，<a href="https://www.microsoft.com/en-us/security/blog/2020/12/28/using-microsoft-365-defender-to-coordinate-protection-against-solorigate/">Microsoft</a> 和 <a href="https://www.mandiant.com/sites/default/files/2021-11/wp-m-unc2452-000343.pdf#page=29">Mandiant</a> 均有相關記錄。

Azure AD privilege escalation - Taking over default application permissions as Application Admin

Account Manipulation: Additional Cloud Credentials

[MITRE ATT&CK®] T1098.001 (Account Manipulation: Additional Cloud Credentials)

擁有憑證的第一方服務主體

MFA 為帳戶提供強大保護，防止出現弱式密碼或易遭洩漏的密碼。建議的安全性最佳做法和標準是啟用 MFA，即使是非特權帳戶亦是如此。未註冊 MFA 方法的帳戶無法受到此機制保護。

多因素驗證 (MFA) 或之前的雙因素驗證 (2FA) 可為帳戶提供強大保護，防止出現弱式密碼或易遭洩漏的密碼​。建議的安全性最佳做法和標準是啟用 MFA，即使是非特權帳戶亦是如此。
攻擊者透過任意方式取得使用者密碼後，MFA 會透過要求額外因素 (例如具有時效性的行動應用程式代碼、實體權杖、生物特徵等) 來阻止驗證。
如果帳戶未註冊 MFA 方法，或者您未註冊 MFA 方法而強制執行 MFA，本曝險指標會向您發出警示。上述兩種情況都可能會使擁有密碼的攻擊者註冊自己的 MFA 方法，而造成安全性風險。然而，本曝險指標無法報告 Microsoft Entra ID 是否強制執行 MFA，因為視動態標準而定，條件存取原則可能需要 MFA。
有關特權帳戶的資訊，另請參閱相關的「特權帳戶缺少 MFA」IOE。

Account Manipulation

Brute Force

Modify Authentication Process: Multi-Factor Authentication

Valid Accounts: Cloud Accounts

[MITRE ATT&CK®] T1098 (Account Manipulation)

[MITRE ATT&CK®] T1110 (Brute Force)

[MITRE ATT&CK®] T1556.006 (Modify Authentication Process: Multi-Factor Authentication)

[MITRE ATT&CK®] T1078.004 (Valid Accounts: Cloud Accounts)

非特權帳戶缺少 MFA

Microsoft Entra ID 可以將身分驗證委派給另一個驗證提供者，這個功能叫做「同盟」。獲得高權限的攻擊者可以新增惡意同盟網域來濫用此正當功能，進而達到長期潛伏和權限提升的目的。

Microsoft Entra 租用戶可以<a href="https://learn.microsoft.com/en-us/azure/active-directory/hybrid/whatis-fed">與外部網域同盟</a>，以便與另一個網域建立信任來進行驗證和授權。組織使用同盟功能將 Active Directory 使用者驗證委派至他們的內部部署 Active Directory Federation Services (AD FS)(註: 外部網域不是 Active Directory「網域」)。
但如果惡意攻擊執行者在 Microsoft Entra ID 中獲得高權限，他們可以新增自己的同盟網域或編輯現有同盟網域以新增次要設定與自己的設定，來濫用這種同盟機制並建立後門程式​。這種攻擊將允許以下動作: 
<ul>
<li>假冒​: 惡意同盟網域可以產生權杖，允許攻擊者以任何 Microsoft Entra 使用者的身分來進行驗證，無需知道或重設密碼。這包括「僅限雲端」使用者 (非混合使用者) 和外部使用者。即便您已強制使用 MFA (請見下文)，這仍允許對 Microsoft Entra ID、Microsoft 365 (O365)，以及其他依賴 Microsoft Entra ID 作為身分識別提供者 (SSO) 的應用程式發動攻擊。</li>
<li>權限提升​: 攻擊者可以假冒任何使用者，尤其是特權 Microsoft Entra ID 使用者。</li>
<li>多因素驗證繞過​: 有了同盟驗證，受信任的外部網域可以<a href="https://learn.microsoft.com/en-us/graph/api/resources/internaldomainfederation?view=graph-rest-beta#federatedidpmfabehavior-values">擔任強制執行 MFA 的角色</a>。惡意同盟網域可以謊稱偽造的驗證使用了受 Microsoft Entra ID 信任的 MFA，並且 Microsoft Entra ID 不會再次提示使用 MFA。即便在有 MFA 保護的情況下，攻擊者也可藉此假冒所有使用者。</li>
<li>長期潛伏​: 新增惡意同盟網域是一種隱蔽技術，允許入侵 Microsoft Entra 租用戶並佔有高等權限的攻擊者之後重新取得存取權。</li>
</ul>
本曝險指標會根據 <a href="https://aadinternals.com/">AADInternals</a> 駭客工具組所建立或轉換之後門程式網域的某些特徵，偵測其建立的同盟網域後門程式，尤其是 <code>ConvertTo-AADIntBackdoor</code> 和 <code>New-AADIntBackdoor</code> cmdlets。
將驗證證明從惡意同盟網域傳遞至受攻擊 Microsoft Entra ID 的同盟通訊協定可以是 WS-Federation 或 SAML。對於 SAML，這種攻擊類似於「<a href="https://www.mandiant.com/sites/default/files/2021-11/wp-m-unc2452-000343.pdf#page=9">Golden SAML</a>」攻擊，主要區別如下:
<ul>
<li>攻擊者不是竊取現有同盟的正當 SAML 簽章金鑰，而是使用自己的金鑰插入新網域。</li>
<li>攻擊者使用權杖進行同盟，而不是存取某個服務。</li>
</ul>
<code>microsoft.directory/domains/federation/update</code> 權限可授予修改同盟網域的能力。截至 2023 年 1 月，除潛在的自訂角色外，下列內建 Microsoft Entra 角色持有此權限:
<ul>
<li>「<a href="https://learn.microsoft.com/en-us/azure/active-directory/roles/permissions-reference#global-administrator">全域管理員</a>」</li>
<li>「<a href="https://learn.microsoft.com/en-us/azure/active-directory/roles/permissions-reference#security-administrator">安全性管理員</a>」</li>
<li>「<a href="https://learn.microsoft.com/en-us/azure/active-directory/roles/permissions-reference#hybrid-identity-administrator">混合身分管理員</a>」</li>
<li>「<a href="https://learn.microsoft.com/en-us/azure/active-directory/roles/permissions-reference#external-identity-provider-administrator">外部身分識別提供者管理員</a>」</li>
</ul>
APT29 威脅集團在 2020 年 12 月濫用此方法對 SolarWinds 發動惡名昭彰的「Solorigate」攻擊，<a href="https://www.microsoft.com/en-us/security/blog/2020/12/28/using-microsoft-365-defender-to-coordinate-protection-against-solorigate/">Microsoft</a> 和 <a href="https://www.mandiant.com/sites/default/files/2021-11/wp-m-unc2452-000343.pdf#page=23">Mandiant</a> 均有相關記錄。

偵測

曝險指標 (IoE)

High

High

Medium

Critical