Groupe dynamique doté d'une règle exploitable

MEDIUM

Langue :

Description

Les groupes dynamiques dans Microsoft Entra ID sont une fonctionnalité puissante qui nécessite une licence P1 ou supérieure. L'appartenance à ces groupes est automatiquement mise à jour en fonction de règles spécifiques liées aux attributs des utilisateurs. Cependant, si ces règles reposent sur des attributs que les utilisateurs peuvent modifier eux-mêmes, celles-ci deviennent vulnérables à l'exploitation.

Un attaquant ayant la possibilité de modifier l'attribut utilisé dans la règle d'un groupe dynamique peut manipuler son appartenance. Cette mauvaise configuration peut entraîner un accès non autorisé ou une élévation de privilèges si le groupe autorise l'accès à des ressources sensibles.

De nombreux attributs d'un tenant ne sont pas modifiables par l'utilisateur, mais les comptes invités constituent une exception. Un utilisateur invité contrôlé par un attaquant et disposant de privilèges d'administration dans le tenant principal de l'attaquant peut y modifier les attributs et exploiter la règle de groupe dynamique dans le tenant cible.

Ce problème, mis en évidence pour la première fois vers 2020 dans la recherche en sécurité et la documentation sur les tests d'intrusion, reste un vecteur d'attaque fiable dans des environnements mal configurés. Depuis la fin de l'année 2024, l'outil d'attaque AADInternals inclut une fonction permettant d'identifier les groupes exploitables.

Scénario d'attaque possible :

Reconnaissance : un attaquant accède à un tenant en tant qu'utilisateur standard sans rôle privilégié. Par défaut, il peut énumérer les groupes et afficher les règles de groupe dynamiques.
Sélection de cible : des attaquants identifient des groupes dynamiques disposant d'autorisations sensibles, tels que les rôles Azure privilégiés des abonnements. Ils ciblent les règles qui utilisent des attributs exploitables comme displayName contenant des mots-clés spécifiques (par exemple, « admin »).
Préparation malveillante : des attaquants créent un utilisateur dans leur propre tenant Entra dont les attributs correspondent aux règles d'appartenance du groupe ciblé.
Invitation d'un invité : les attaquants invitent cet utilisateur malveillant en tant qu'invité dans le tenant cible.
Exploitation de règles : lorsque l'invité malveillant accepte l'invitation, son compte est créé dans le tenant cible et les règles d'appartenance du groupe dynamique traitent ses attributs.
Élévation : l'invité malveillant rejoint automatiquement le groupe dynamique et hérite de ses autorisations (p. ex., rôles d'abonnement Azure privilégiés) dans les minutes suivant la création du compte.

Le risque et la sévérité qui en résulte dépendent de ces facteurs :

Paramètres d'accès des invités : des restrictions d'invités faibles augmentent la faisabilité de l'attaque. Le risque augmente avec la possibilité d'inviter des utilisateurs et de consulter les règles du groupe (voir les indicateurs d'exposition connexes « Comptes invités non restreints » et « Comptes invités disposant d'un accès identique aux comptes normaux »).
Portée de l'accès au groupe : la sévérité de l'exploitation dépend des ressources contrôlées par le groupe, qui peuvent inclure :
- Services Microsoft 365 (canaux Teams, sites SharePoint, boîte de réception Exchange)
- Ressources cloud Azure
- Autres applications intégrées

Solution

Les groupes dynamiques simplifient les tâches d'administration mais nécessitent une configuration adéquate pour éviter les abus. En traitant ces risques, les administrateurs peuvent préserver la sécurité et l'efficacité des groupes dynamiques dans la gestion d'Entra ID.

La remédiation la plus immédiate consiste à éviter les attributs contrôlés par les utilisateurs dans les règles : ne basez pas les règles d'appartenance à un groupe dynamique sur des attributs que les utilisateurs, en particulier les invités, peuvent directement modifier. Cela réduit considérablement l'utilité et la flexibilité de la fonctionnalité.

Comme décrit plus haut, la méthode d'exploitation la plus simple consiste à inviter un utilisateur malveillant. Pour réduire ce risque, vous pouvez configurer des stratégies pour restreindre les invitations à un groupe d'utilisateurs de confiance. Cela peut avoir un impact sur la collaboration mais réduit considérablement le risque d'accès malveillants. Ces invités dangereux peuvent également être exclus si vous pensez qu'ils ne seront pas membres du groupe dynamique. Dans l'éditeur de règles, ajoutez une règle « Et » sur la propriété userType avec l'opérateur N'est pas égal à pour la valeur Invité, ce qui génère la règle suivante : et (user.userType -ne "Guest"). Notez que cela ne vous protège pas contre les « membres externes » malveillants.

Cependant, un utilisateur interne ayant la possibilité de modifier les attributs utilisateur (par exemple, au travers des autorisations accordées par un rôle Entra) peut également exploiter cette fonctionnalité, ce qui crée des chemins d'attaque supplémentaires. Par conséquent, veuillez examiner attentivement les rôles Entra qui accordent ces autorisations.

Les utilisateurs internes, ainsi que les invités moins fiables, peuvent facilement découvrir les groupes exploitables. Pour atténuer ce risque, vous pouvez réduire la visibilité des groupes et leurs règles. Reportez-vous aux recommandations contenues dans les indicateurs d'exposition « Comptes invités non restreints » et « Comptes invités disposant d'un accès identique aux comptes normaux ». Cela n'empêche toutefois pas les utilisateurs internes d'exploiter les groupes, car ils peuvent toujours identifier les groupes cibles.

En outre, vous pouvez surveiller régulièrement les changements d'appartenance aux groupes dynamiques, afin d'identifier et de traiter les exploitations potentielles. Vous pouvez le faire en temps réel à l'aide du journal d'audit Entra ou choisir de « Mettre en pause le traitement » dans les propriétés du groupe dynamique et de le réactiver uniquement lorsque vous êtes prêt à comparer les membres avant et après la modification.

Enfin, vous pouvez choisir d'exclure le groupe identifié si vous acceptez le risque, soit parce que vous le considérez comme faible (en raison d'une probabilité minimale de découverte ou d'exploitation), soit parce que l'appartenance au groupe ne donne pas accès à des ressources sensibles.

Détails de l'indicateur

Nom: Groupe dynamique doté d'une règle exploitable

Nom de code: DYNAMIC-GROUP-FEATURING-AN-EXPLOITABLE-RULE

Sévérité: Medium

Type: Microsoft Entra ID Indicator of Exposure

Informations MITRE ATT&CK:

Tactique: TA0004 - Privilege Escalation
- Techniques: T1078.003 - Valid Accounts: Cloud Accounts, T1098.007 - Account Manipulation: Additional Local or Domain Groups
Tactique: TA0007 - Discovery
- Techniques: T1069.003 - Permission Groups Discovery: Cloud Groups