Langue :
Les groupes dynamiques dans Microsoft Entra ID sont une fonctionnalité puissante qui nécessite une licence P1 ou supérieure. L'appartenance à ces groupes est automatiquement mise à jour en fonction de règles spécifiques liées aux attributs des utilisateurs. Cependant, si ces règles reposent sur des attributs que les utilisateurs peuvent modifier eux-mêmes, celles-ci deviennent vulnérables à l'exploitation.
Un attaquant ayant la possibilité de modifier l'attribut utilisé dans la règle d'un groupe dynamique peut manipuler son appartenance. Cette mauvaise configuration peut entraîner un accès non autorisé ou une élévation de privilèges si le groupe autorise l'accès à des ressources sensibles.
De nombreux attributs d'un tenant ne sont pas modifiables par l'utilisateur, mais les comptes invités constituent une exception. Un utilisateur invité contrôlé par un attaquant et disposant de privilèges d'administration dans le tenant principal de l'attaquant peut y modifier les attributs et exploiter la règle de groupe dynamique dans le tenant cible.
Ce problème, mis en évidence pour la première fois vers 2020 dans la recherche en sécurité et la documentation sur les tests d'intrusion, reste un vecteur d'attaque fiable dans des environnements mal configurés. Depuis la fin de l'année 2024, l'outil d'attaque AADInternals inclut une fonction permettant d'identifier les groupes exploitables.
Scénario d'attaque possible :
displayName
contenant des mots-clés spécifiques (par exemple, « admin »).Le risque et la sévérité qui en résulte dépendent de ces facteurs :
Les groupes dynamiques simplifient les tâches d'administration mais nécessitent une configuration adéquate pour éviter les abus. En traitant ces risques, les administrateurs peuvent préserver la sécurité et l'efficacité des groupes dynamiques dans la gestion d'Entra ID.
La remédiation la plus immédiate consiste à éviter les attributs contrôlés par les utilisateurs dans les règles : ne basez pas les règles d'appartenance à un groupe dynamique sur des attributs que les utilisateurs, en particulier les invités, peuvent directement modifier. Cela réduit considérablement l'utilité et la flexibilité de la fonctionnalité.
Comme décrit plus haut, la méthode d'exploitation la plus simple consiste à inviter un utilisateur malveillant. Pour réduire ce risque, vous pouvez configurer des stratégies pour restreindre les invitations à un groupe d'utilisateurs de confiance. Cela peut avoir un impact sur la collaboration mais réduit considérablement le risque d'accès malveillants.
Ces invités dangereux peuvent également être exclus si vous pensez qu'ils ne seront pas membres du groupe dynamique. Dans l'éditeur de règles, ajoutez une règle « Et » sur la propriété userType
avec l'opérateur N'est pas égal à
pour la valeur Invité
, ce qui génère la règle suivante : et (user.userType -ne "Guest")
. Notez que cela ne vous protège pas contre les « membres externes » malveillants.
Cependant, un utilisateur interne ayant la possibilité de modifier les attributs utilisateur (par exemple, au travers des autorisations accordées par un rôle Entra) peut également exploiter cette fonctionnalité, ce qui crée des chemins d'attaque supplémentaires. Par conséquent, veuillez examiner attentivement les rôles Entra qui accordent ces autorisations.
Les utilisateurs internes, ainsi que les invités moins fiables, peuvent facilement découvrir les groupes exploitables. Pour atténuer ce risque, vous pouvez réduire la visibilité des groupes et leurs règles. Reportez-vous aux recommandations contenues dans les indicateurs d'exposition « Comptes invités non restreints » et « Comptes invités disposant d'un accès identique aux comptes normaux ». Cela n'empêche toutefois pas les utilisateurs internes d'exploiter les groupes, car ils peuvent toujours identifier les groupes cibles.
En outre, vous pouvez surveiller régulièrement les changements d'appartenance aux groupes dynamiques, afin d'identifier et de traiter les exploitations potentielles. Vous pouvez le faire en temps réel à l'aide du journal d'audit Entra ou choisir de « Mettre en pause le traitement » dans les propriétés du groupe dynamique et de le réactiver uniquement lorsque vous êtes prêt à comparer les membres avant et après la modification.
Enfin, vous pouvez choisir d'exclure le groupe identifié si vous acceptez le risque, soit parce que vous le considérez comme faible (en raison d'une probabilité minimale de découverte ou d'exploitation), soit parce que l'appartenance au groupe ne donne pas accès à des ressources sensibles.
Nom: Groupe dynamique doté d'une règle exploitable
Nom de code: DYNAMIC-GROUP-FEATURING-AN-EXPLOITABLE-RULE
Sévérité: Medium
Type: Microsoft Entra ID Indicator of Exposure