Langue :
Microsoft expose des API par l'intermédiaire d'applications dans Entra ID pour permettre à des applications tierces d'effectuer des actions au sein de Microsoft Entra ID, de Microsoft 365 (O365), du cloud Azure, etc. Des « autorisations d'API » protègent l'accès à ces API, et seuls les principaux de service qui en ont besoin peuvent les obtenir. L'approbation des autorisations s'appelle « attribution de rôle d'application » ou « octroi d'autorisation ».
Certaines autorisations sur certaines API Microsoft (voir ci-dessous) peuvent représenter une grave menace pour l'ensemble du tenant Microsoft Entra ID, car un principal de service qui dispose de ces autorisations devient très puissant, tout en étant plus discret qu'un utilisateur disposant d'un rôle d'administrateur puissant tel que l'Administrateur général. En exploitant ces autorisations, un attaquant peut contourner l'authentification multifacteur (MFA) et résister aux réinitialisations de mot de passe des utilisateurs.
Lorsqu'elles sont légitimes, les autorisations augmentent la surface d'attaque pour le tenant. Lorsqu'elles ne le sont pas, il peut s'agir d'une tentative malveillante d'élévation de privilèges ou d'une méthode de persistance.
Il existe deux types d'autorisations d'API dans Microsoft Entra ID, comme décrit dans la documentation Microsoft Présentation des autorisations et du consentement :
Cet indicateur d'exposition examine les deux types d'autorisations. Il ne porte que sur les principaux de service, car les autorisations d'API ne peuvent s'appliquer qu'aux principaux de service, et non pas aux utilisateurs.
Cet indicateur d'exposition porte également sur les autorisations qui permettent d'accéder à l'API Microsoft Graph et à l'API Azure AD Graph obsolète. En particulier, les autorisations dangereuses suivantes peuvent présenter un risque de sécurité :
RoleManagement.ReadWrite.Directory
: permet aux attaquants d'acquérir le rôle d'Administrateur général.AppRoleAssignment.ReadWrite.All
: : permet aux attaquants de s'accorder l'autorisation RoleManagement.ReadWrite.Directory
(voir ci-dessus).Les applications légitimes disposant de ces autorisations dangereuses demandent des autorisations qui peuvent être trop larges. Ce peut également être le signe d'une attaque par hameçonnage appelée « octroi d'autorisation illicite », au cours de laquelle un attaquant réussit à obtenir le consentement d'un administrateur.
Commencez par déterminer si le principal de service signalé avec l'autorisation est légitime. Notez qu'il est techniquement possible d'usurper le nom d'affichage dans une attaque par hameçonnage. Si le principal de service semble appartenir à un éditeur de logiciels connu, demandez-lui de confirmer que l'ID d'application signalée lui appartient. Si le principal de service est illégitime et qu'il usurpe le nom d'une application connue, vous devez effectuer une analyse forensique.
Microsoft a également publié deux guides pour vous aider à effectuer un examen d’octroi de consentement d’application et à détecter et corriger les octrois de consentement illicites.