Algemeen
Deze check identificeert dynamische groepen met lidmaatschapsregels die gebaseerd zijn op door gebruikers te beïnvloeden attributen, wanneer gastuitnodigingen zijn ingeschakeld in uw tenant. Dit kan mogelijk leiden tot ongeautoriseerde groepstoegang doordat gebruikers een gast kunnen uitnodigen en in de uitnodiging de profielgegevens kunnen manipuleren om automatisch lid te worden van specifieke groepen.
Rationale
Dynamische groepen in Entra ID gebruiken regelgebaseerd lidmaatschap om gebruikers automatisch toe te voegen op basis van hun attributen. Wanneer een lidmaatschapsregel controleert op attributen zoals displayName, userPrincipalName, MailNickname of Email adres ontstaat er een potentieel beveiligingsrisico als gastuitnodigingen zijn toegestaan in uw tenant.
Bij het uitnodigen van een guest account kunnen bepaalde profielattributen worden ingesteld door de persoon die de uitnodiging verstuurt. Een aanvaller die een uitnodiging ontvangt (of zelf kan versturen als gastuitnodigingen breed zijn toegestaan) kan deze attributen strategisch invullen om te voldoen aan de lidmaatschapsregels van dynamische groepen. Zodra de gast lid wordt van zo'n groep, erft deze automatisch alle permissies, toegang tot resources en applicaties die aan die groep zijn gekoppeld.
Dit scenario is vooral riskant wanneer dynamische groepen toegang hebben tot gevoelige SharePoint sites, applicaties met verhoogde rechten, of resources met vertrouwelijke bedrijfsinformatie. Een aanvaller kan privilege escalation bereiken zonder dat directe admin-actie nodig is, simpelweg door gebruik te maken van de automatische groepslidmaatschap functionaliteit.
Handmatige instructie
Voor elke geïdentificeerde dynamische groep moet u de volgende beoordeling uitvoeren:
- Controleer de groepspermissies: Ga naar het Entra admin center → Groups → selecteer de betreffende groep. Bekijk onder "Assigned roles", "Group memberships", en "Applications" welke toegang deze groep heeft tot resources, applicaties en admin-rollen.
- Beoordeel het risico: Bepaal of de groep toegang heeft tot gevoelige informatie of verhoogde permissies. Als de groep alleen toegang heeft tot niet-kritieke resources, kan het risico acceptabel zijn voor uw organisatie.
-
Kies een mitigatiestrategie (indien nodig):
- Optie 1 - Wijzig de lidmaatschapsregel: Pas de dynamic membership rule aan om attributen te gebruiken die niet door gasten kunnen worden beïnvloed, zoals employeeId, onPremisesSamAccountName, of specifieke group memberships.
- Optie 2 - Beperk gastuitnodigingen: Ga naar Entra admin center → External Identities → External collaboration settings, en wijzig "Guest invite settings" naar "Only users assigned to specific admin roles can invite guest users".
- Optie 3 - Verwijder groepspermissies: Als de groep geen specifieke functie meer heeft, verwijder dan de toegang tot gevoelige resources of applicaties.
- Optie 4 - Accepteer het risico: Documenteer de beslissing als de groep geen toegang heeft tot kritieke resources en het risico acceptabel is.
- Controleer bestaande gastleden: Bekijk de huidige leden van de dynamische groep en controleer of er guest accounts zijn die mogelijk onbedoeld toegang hebben verkregen via deze route.
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.