Algemeen
Binnen Entra ID bestaan verborgen beheerrollen die configuratie van o.a. multi-factor authenticatie omzeilen. Deze check controleert of deze rol aan (nieuwe) gebruikers wordt toegekend.
Rationale
Deze verborgen rollen bestaan voor bepaalde legitieme functionaliteit. De rollen zou om andere redenen niet gebruikt moeten worden, maar kunnen door aanvallers worden misbruikt om zichzelf onopgemerkt hoge rechten toe te kennen.
Deze rollen zouden überhaupt niet moeten worden toegekend, en zal bij toewijzing altijd tot alarm leiden in Attic:
- Partner Tier1 Support
- Partner Tier2 Support
Deze rol is alleen nodig in geval van een Hybride setup van Exchange, maar in dat geval aan maximaal 1 account zijn toegewezen. De check zal tot alarm leiden indien geen gebruik wordt gemaakt van directory synchronisatie maar de rol toch is toegewezen:
- Directory Synchronization Accounts
- On Premises Directory Sync Account
Handmatige instructie
Voer deze stappen uit om de onterecht toegewezen rol(len) te verwijderen. Omdat dit onzichtbare rollen betreft, kan dit alleen met behulp van PowerShell worden uitgevoerd.
Vervang in dit script de rode delen <ROLENAME> en <USERNAME@COMPANY> met waardes in het incident.
$role = Get-AzureADDirectoryRole | Where-Object { $roles -contains "<ROLENAME>" }
$user = Get-AzureADUser -ObjectId "<USERNAME@COMPANY>"
Remove-AzureADDirectoryRoleMember -ObjectId $role.ObjectId -MemberId $user.ObjectId
Het is een ingewikkeld powershell commando dat verschilt per Microsoft 365 organisatie. Neem daarom in het ticket contact met ons op om het juiste commando uit te voeren.
Verder is het zeer raadzaam om een incident response proces te initieren en uitgebreid onderzoek te laten doen naar deze roltoewijzing. Er is namelijk een redelijke kans dat dit onderdeel uitmaakt van grotere cyberaanval dat ook andere consequenties heeft gehad. Een onderzoek moet vaststellen of dit het geval is om specifieke benodigde vervolgacties te kunnen bepalen.
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.