Entenda os Papéis no Entra ID – Conheça-os antes que o atacante o faça.

Publicado em por chesleysilva

Gerenciar o acesso em sistemas de identidade na nuvem não é apenas sobre atribuir papéis, mas sim sobre compreender a extensão e os pontos críticos de cada conjunto de permissões.

A imagem abaixo mostra bem isso, de forma simples e bem profunda.

Fonte: https://entra.news/

O diagrama ilustra os Papéis no Entra ID divididos em:

  • Papéis Inter-serviços: Administradores Globais, Administradores de Segurança e Administradores de Conformidade, com privilégios abrangentes para toda a organização.
  • Papéis Específicos do Entra ID: Controle detalhado sobre aplicativos, políticas de autenticação, dispositivos, fluxos de trabalho, PIM, Acesso Condicional e muito mais.
  • Papéis Específicos de Serviço: Acesso limitado a serviços como Microsoft 365, Defender, Intune, SharePoint, Teams, entre outros.

Esses papéis são importantes sob a ótica de um atacante, pois permitem:

  • Escalada de Privilégios Inicial: Comprometer papéis com menor visibilidade, como Administrador de Aplicativos ou Administrador de Senhas, pode facilitar o movimento lateral até papéis de maior privilégio.
  • Acesso Persistente: Papéis como Administrador de Dispositivos em Nuvem ou Administrador de Identidade Híbrida permitem aos atacantes implantar backdoors na sincronização de identidade ou na confiança de dispositivos.
  • Exfiltração de Dados: Papéis como Administrador de Destinatários do Exchange, Administrador de Teams ou Administrador de SharePoint podem possibilitar o vazamento de dados em grande escala, utilizando regras de caixa de entrada, exportação de chats ou links compartilhados.
  • Evasão de Defesa: Papéis como Leitor de Segurança ou Administrador de Conformidade fornecem visibilidade sobre as detecções existentes, facilitando a evasão de ameaças.
  • Associação de Principal de Serviço: O Administrador de Aplicações pode manipular aplicativos corporativos, injetando URIs de redirecionamento maliciosas ou segredos.
  • Canais de Comunicação Ocultos: O abuso de papéis como Administrador de Comunicações do Teams ou Yammer pode criar canais ou grupos secretos.
  • Ciclos de Papéis Privilegiados: A violação do papel de Administrador de Papéis Privilegiados pode permitir que o atacante se atribua qualquer outro papel, incluindo a reatribuição de Administradores Globais.

Dicas para Obter Acesso aos Papéis do Entra ID (Edição de Simulação de Ameaças):

  • Explore lacunas na atribuição de papéis.
  • Comprometa os Proprietários de Aplicativos.
  • Abuse das Identidades Automatizadas.
  • Alvo de Usuários Convidados com Acesso Delegado.
  • Revoque Tokens para Escalada de Papéis.

Agradeço imensamente ao Merill Fernando pelo excelente diagrama.
Fonte: Entra Mind Maps – by Merill Fernando

Deixe um comentário