Partager via


Détecter et corriger les octrois de consentement illicites

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender XDR pour Office 365 Plan 2 ? Utilisez la version d’évaluation Defender for Office 365 de 90 jours sur le hub d’essais du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Try Microsoft Defender pour Office 365.

Résumé Découvrez comment reconnaître et corriger l’attaque d’octroi de consentement illicite dans Microsoft 365.

Dans une attaque d’octroi de consentement illicite, l’attaquant crée une application inscrite sur Azure qui demande l’accès à des données telles que des informations de contact, des e-mails ou des documents. L’attaquant trompe ensuite un utilisateur final en lui accordant le consentement de l’application pour accéder à ses données par le biais d’une attaque par hameçonnage ou en injectant du code illicite dans un site web de confiance. Une fois que l’application illicite a obtenu le consentement, elle dispose d’un accès au niveau du compte aux données sans avoir besoin d’un compte d’organisation. Les étapes de correction normales (par exemple, la réinitialisation des mots de passe ou l’authentification multifacteur (MFA) ne sont pas efficaces contre ce type d’attaque, car ces applications sont externes au organization.

Ces attaques utilisent un modèle d’interaction qui suppose que l’entité appelant les informations est une automatisation et non une personne.

Importante

Pensez-vous rencontrer des problèmes avec les octrois de consentement illicites d’une application ? Microsoft Defender for Cloud Apps dispose d’outils pour détecter, examiner et corriger vos applications OAuth. Cet article Defender for Cloud Apps contient un tutoriel qui explique comment examiner les applications OAuth à risque. Vous pouvez également définir des stratégies d’application OAuth pour examiner les autorisations demandées par l’application, les utilisateurs qui autorisent ces applications, et approuver ou interdire largement ces demandes d’autorisations.

Vous devez effectuer une recherche dans le journal d’audit pour trouver des signes, également appelés indicateurs de compromission (IOC) de cette attaque. Pour les organisations qui disposent de nombreuses applications inscrites dans Azure et d’une grande base d’utilisateurs, la meilleure pratique consiste à passer en revue les octrois de consentement de votre organisation sur une base hebdomadaire.

Étapes à suivre pour trouver les signes de cette attaque

  1. Ouvrez le portail Microsoft Defender à l’adresse , https://security.microsoft.com puis sélectionnez Auditer. Ou, pour accéder directement à la page Audit, utilisez https://security.microsoft.com/auditlogsearch.

  2. Dans la page Audit , vérifiez que l’onglet Recherche est sélectionné, puis configurez les paramètres suivants :

    • Date et plage horaire
    • Activités : vérifiez que l’option Afficher les résultats de toutes les activités est sélectionnée.

    Lorsque vous avez terminé, sélectionnez Rechercher.

  3. Sélectionnez la colonne Activité pour trier les résultats et rechercher Consentement à l’application.

  4. Sélectionnez une entrée dans la liste pour afficher les détails de l’activité. Vérifiez si IsAdminConsent est défini sur True.

Remarque

L’affichage de l’entrée du journal d’audit correspondante dans les résultats de la recherche après un événement peut prendre de 30 minutes à 24 heures.

La durée pendant laquelle un enregistrement d’audit est conservé et peut faire l’objet d’une recherche dans le journal d’audit dépend de votre abonnement Microsoft 365, et plus particulièrement du type de licence attribué à un utilisateur spécifique. Pour plus d’informations, consultez Journal d’audit.

La valeur true indique qu’une personne disposant d’un accès Administrateur général peut avoir accordé un accès étendu aux données. Si cette valeur est inattendue, prenez les mesures nécessaires pour confirmer une attaque.

Comment confirmer une attaque

Si vous avez une ou plusieurs instances des ICS répertoriées précédemment, vous devez effectuer une investigation plus approfondie pour confirmer que l’attaque s’est produite. Vous pouvez utiliser l’une de ces trois méthodes pour confirmer l’attaque :

  • Stockez les applications et leurs autorisations à l’aide de la centre d’administration Microsoft Entra. Cette méthode est complète, mais vous ne pouvez case activée qu’un seul utilisateur à la fois, ce qui peut prendre beaucoup de temps si vous avez de nombreux utilisateurs à case activée.
  • Stockez les applications et leurs autorisations à l’aide de PowerShell. Il s’agit de la méthode la plus rapide et la plus complète, avec le moins de surcharge.
  • Vos utilisateurs case activée individuellement leurs applications et autorisations et rapportent les résultats aux administrateurs pour correction.

Inventorier les applications avec accès dans votre organization

Vous disposez des options suivantes pour inventorier les applications pour vos utilisateurs :

  • Centre d’administration Microsoft Entra.
  • PowerShell.
  • Vos utilisateurs doivent énumérer individuellement leur propre accès à l’application.

Étapes d’utilisation du centre d’administration Microsoft Entra

Vous pouvez rechercher les applications pour lesquelles un utilisateur individuel a accordé des autorisations à l’aide de la centre d’administration Microsoft Entra :

  1. Ouvrez le centre d’administration Microsoft Entra à l’adresse https://entra.microsoft.com, puis accédez à Identité>Utilisateurs>Tous les utilisateurs. Ou, pour accéder directement à Utilisateurs>Tous les utilisateurs, utilisez https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/.
  2. Recherchez et sélectionnez l’utilisateur que vous souhaitez examiner en cliquant sur la valeur Nom d’affichage .
  3. Dans la page des détails de l’utilisateur qui s’ouvre, sélectionnez Applications.

Ces étapes vous montrent les applications qui sont affectées à l’utilisateur et les autorisations dont disposent les applications.

Étapes pour que vos utilisateurs énumèrent leur accès à l’application

Faites en sorte que vos utilisateurs accèdent à leur propre accès à https://myapps.microsoft.com l’application et y passent en revue. Ils doivent être en mesure de voir toutes les applications avec accès, d’afficher les détails les concernant (y compris l’étendue de l’accès) et de révoquer les privilèges des applications suspectes ou illicites.

Étapes dans PowerShell

Le moyen le plus simple de vérifier l’attaque d’octroi de consentement illicite consiste à exécuter Get-AzureADPSPermissions.ps1, qui vide tous les octrois de consentement OAuth et les applications OAuth pour tous les utilisateurs de votre location dans un fichier .csv.

Configuration requise

  • Bibliothèque Azure AD PowerShell installée.
  • Autorisations d’administrateur général dans le organization où le script est exécuté.
  • Autorisations d’administrateur local sur l’ordinateur sur lequel vous exécutez les scripts.

Importante

Nous vous recommandons vivement d’exiger l’authentification multifacteur sur votre compte administrateur. Ce script prend en charge l’authentification MFA.

Microsoft vous recommande d’utiliser des rôles disposant du moins d’autorisations. L’utilisation de comptes avec autorisation inférieure permet d’améliorer la sécurité de vos organization. Le rôle d’administrateur général dispose de privilèges élevés. Il doit être limité aux scénarios d’urgence lorsque vous ne pouvez pas utiliser un rôle existant.

Remarque

La date d’obsolescence d’Azure AD PowerShell est prévue le 30 mars 2024. Pour en savoir plus, consultez la mise à jour sur l’obsolescence.

Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID (anciennement Azure AD). Microsoft Graph PowerShell permet d’accéder à toutes les API Microsoft Graph et est disponible sur PowerShell 7. Pour obtenir des réponses aux requêtes de migration courantes, consultez la FAQ sur la migration.

  1. Connectez-vous à l’ordinateur sur lequel vous souhaitez exécuter les scripts avec des droits d’administrateur local.

  2. Téléchargez ou copiez le script Get-AzureADPSPermissions.ps1 à partir de GitHub dans un dossier facile à trouver et à mémoriser. C’est également dans ce dossier que vous devez écrire le fichier de sortie « permissions.csv ».

  3. Ouvrez une session PowerShell avec élévation de privilèges en tant qu’administrateur dans le dossier où vous avez enregistré le script.

  4. Connectez-vous à votre répertoire à l’aide de l’applet de commande Connect-MgGraph .

  5. Exécutez cette commande PowerShell :

    .\Get-AzureADPSPermissions.ps1 | Export-csv -Path "Permissions.csv" -NoTypeInformation
    

Le script produit un fichier nommé Permissions.csv. Suivez ces étapes pour rechercher les octrois d’autorisations d’application illicites :

  1. Dans la colonne ConsentType (colonne G), recherchez la valeur « AllPrinciples ». L’autorisation AllPrincipals permet à l’application cliente d’accéder au contenu de tout le monde dans la location. Les applications Microsoft 365 natives ont besoin de cette autorisation pour fonctionner correctement. Toutes les applications non-Microsoft disposant de cette autorisation doivent être examinées attentivement.

  2. Dans la colonne Autorisation (colonne F), passez en revue les autorisations dont dispose chaque application déléguée pour le contenu. Recherchez les autorisations « Lecture » et « Écriture » ou « Tout » et examinez attentivement ces autorisations, car elles peuvent ne pas être appropriées.

  3. Passez en revue les utilisateurs spécifiques auxquels des consentements ont été accordés. Si des utilisateurs à haut profil ou à grande valeur ont des consentements inappropriés accordés, vous devez examiner plus en détail.

  4. Dans la colonne ClientDisplayName (colonne C), recherchez les applications qui semblent suspectes. Les applications avec des noms mal orthographiés, des noms super fades ou des noms de pirate doivent être examinées attentivement.

Déterminer l’étendue de l’attaque

Une fois que vous avez terminé d’inventorier l’accès aux applications, passez en revue le journal d’audit pour déterminer l’étendue complète de la violation. Recherchez les utilisateurs concernés, les délais d’accès de l’application illicite à votre organization et les autorisations dont disposait l’application. Vous pouvez effectuer une recherche dans le journal d’audit dans le portail Microsoft Defender.

Importante

L’audit de boîte aux lettres et l’audit d’activité pour les administrateurs et les utilisateurs doivent avoir été activés avant l’attaque pour que vous obteniez ces informations.

Une fois que vous avez identifié l’application avec des autorisations illicites, vous disposez de plusieurs façons de supprimer cet accès :

  • Vous pouvez révoquer l’autorisation de l’application dans le centre d’administration Microsoft Entra en procédant comme suit :

    1. Ouvrez le centre d’administration Microsoft Entra à l’adresse https://entra.microsoft.com, puis accédez à Identité>Utilisateurs>Tous les utilisateurs. Ou, pour accéder directement à Utilisateurs>Tous les utilisateurs, utilisez https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/.
    2. Recherchez et sélectionnez l’utilisateur affecté en cliquant sur la valeur Nom d’affichage .
    3. Dans la page des détails de l’utilisateur qui s’ouvre, sélectionnez Applications.
    4. Dans la page Applications , sélectionnez l’application illicite en cliquant sur la valeur Nom .
    5. Dans la page détails de l’affectation qui s’ouvre, sélectionnez Supprimer.
  • Vous pouvez révoquer l’octroi de consentement OAuth avec PowerShell en suivant les étapes décrites dans Remove-MgOauth2PermissionGrant

  • Vous pouvez révoquer l’attribution de rôle d’application de service avec PowerShell en suivant les étapes décrites dans Remove-MgServicePrincipalAppRoleAssignment.

  • Vous pouvez désactiver la connexion pour le compte affecté, ce qui désactive l’accès aux données du compte par l’application. Cette action n’est pas idéale pour la productivité des utilisateurs, mais elle peut être une correction à court terme pour limiter rapidement les résultats de l’attaque.

  • Vous pouvez désactiver les applications intégrées dans votre organization. Cette action est radicale. Bien qu’il empêche les utilisateurs d’accorder accidentellement l’accès à une application malveillante, il empêche également tous les utilisateurs d’accorder leur consentement à n’importe quelle application. Nous ne recommandons pas cette action, car elle nuit gravement à la productivité des utilisateurs avec les applications tierces. Vous pouvez désactiver les applications intégrées en suivant les étapes décrites dans Activer ou désactiver les applications intégrées.

Voir aussi