Erkennen und Beheben unzulässiger Zustimmungserteilungen

Tipp

Wussten Sie, dass Sie die Features in Microsoft Defender XDR für Office 365 Plan 2 kostenlos testen können? Verwenden Sie die 90-tägige Testversion von Defender für Office 365 im Microsoft Defender-Portal–Testversionshub. Unter Microsoft Defender für Office 365 ausprobieren erfahren Sie, wer sich registrieren und testen kann.

Zusammenfassung Erfahren Sie, wie Sie den Angriff auf illegale Zustimmungserteilungen in Microsoft 365 erkennen und beheben.

Bei einem Angriff mit unerlaubter Zustimmungserteilung erstellt der Angreifer eine in Azure registrierte Anwendung, die Zugriff auf Daten wie Kontaktinformationen, E-Mails oder Dokumente anfordert. Der Angreifer vertrickt dann einen Endbenutzer dazu, dieser Anwendung die Einwilligung für den Zugriff auf ihre Daten zu erteilen, entweder durch einen Phishingangriff oder durch Einfügen von illegalem Code in eine vertrauenswürdige Website. Nachdem der unzulässigen Anwendung die Zustimmung erteilt wurde, hat sie Zugriff auf Daten auf Kontoebene, ohne dass ein Organisationskonto erforderlich ist. Normale Korrekturschritte (z. B. Zurücksetzen von Kennwörtern oder Erfordern der mehrstufigen Authentifizierung (Multi-Factor Authentication, MFA)) sind gegen diese Art von Angriff nicht wirksam, da diese Apps außerhalb der Organisation sind.

Bei diesen Angriffen wird ein Interaktionsmodell verwendet, bei dem davon ausgegangen wird, dass die Entität, die die Informationen aufruft, automatisierungs- und nicht menschlich ist.

Wichtig

Vermuten Sie, dass gerade Probleme mit unzulässigen Zustimmungserteilungen von einer App auftreten? Microsoft Defender für Cloud-Apps verfügt über Tools zum Erkennen, Untersuchen und Korrigieren Ihrer OAuth-Apps. Dieser Artikel zu Defender für Cloud-Apps enthält ein Tutorial, in dem beschrieben wird, wie Sie riskante OAuth-Apps untersuchen. Sie können auch OAuth-App-Richtlinien festlegen, um von der App angeforderte Berechtigungen zu untersuchen, welche Benutzer diese Apps autorisieren, und diese Berechtigungsanforderungen allgemein genehmigen oder sperren.

Sie müssen das Überwachungsprotokoll durchsuchen, um Anzeichen für diesen Angriff zu finden, die auch als Indikatoren der Kompromittierung (Indicators of Compromise, IOC) bezeichnet werden. Für Organisationen mit vielen in Azure registrierten Anwendungen und einer großen Benutzerbasis besteht die bewährte Methode darin, die Zustimmungsgewährungen Ihrer Organisation wöchentlich zu überprüfen.

Schritte zum Auffinden von Anzeichen für diesen Angriff

  1. Öffnen Sie das Microsoft Defender-Portal unter , https://security.microsoft.com und wählen Sie dann Überwachen aus. Oder verwenden Sie https://security.microsoft.com/auditlogsearch, um direkt zur Seite Überwachung zu wechseln.

  2. Vergewissern Sie sich auf der Seite Überwachung, dass die Registerkarte Suchen ausgewählt ist, und konfigurieren Sie dann die folgenden Einstellungen:

    • Datums- und Zeitbereich
    • Aktivitäten: Vergewissern Sie sich, dass Ergebnisse für alle Aktivitäten anzeigen ausgewählt ist.

    Wenn Sie fertig sind, wählen Sie Suchen aus.

  3. Wählen Sie die Spalte Aktivität aus, um die Ergebnisse zu sortieren, und suchen Sie nach Zustimmung zur Anwendung.

  4. Wählen Sie einen Eintrag aus der Liste aus, um die Details der Aktivität anzuzeigen. Überprüfen Sie, ob IsAdminConsent auf True festgelegt ist.

Hinweis

Es kann 30 Minuten bis zu 24 Stunden dauern, bis der entsprechende Überwachungsprotokolleintrag in den Suchergebnissen angezeigt wird, nachdem ein Ereignis aufgetreten ist.

Die Dauer, in der ein Überwachungsdatensatz aufbewahrt und im Überwachungsprotokoll durchsuchbar ist, hängt von Ihrem Microsoft 365-Abonnement und insbesondere vom Typ der Lizenz ab, die einem bestimmten Benutzer zugewiesen ist. Weitere Informationen finden Sie unter Überwachungsprotokoll.

Der Wert true gibt an, dass jemand mit Global Administrator-Zugriff möglicherweise umfassenden Zugriff auf Daten gewährt hat. Wenn dieser Wert unerwartet ist, führen Sie Schritte aus, um einen Angriff zu bestätigen.

Bestätigen eines Angriffs

Wenn Sie eine oder mehrere Instanzen der zuvor aufgeführten IOCs haben, müssen Sie weitere Untersuchungen durchführen, um zu bestätigen, dass der Angriff stattgefunden hat. Sie können eine der folgenden drei Methoden verwenden, um den Angriff zu bestätigen:

  • Inventarisieren Sie Anwendungen und ihre Berechtigungen mithilfe des Microsoft Entra Admin Centers. Diese Methode ist gründlich, aber Sie können nur einen Benutzer gleichzeitig überprüfen, was sehr zeitaufwändig sein kann, wenn Sie viele Benutzer überprüfen müssen.
  • Inventarisieren von Anwendungen und deren Berechtigungen mithilfe von PowerShell. Dies ist die schnellste und gründlichste Methode mit dem geringsten Aufwand.
  • Bitten Sie Ihre Benutzer, ihre Apps und Berechtigungen einzeln zu überprüfen und die Ergebnisse zur Behebung an die Administratoren zurückzugeben.

Inventarisieren von Apps mit Zugriff in Ihrer Organisation

Sie haben die folgenden Optionen, um Apps für Ihre Benutzer zu inventarisieren:

  • Das Microsoft Entra Admin Center.
  • PowerShell.
  • Lassen Sie Ihre Benutzer ihren eigenen Anwendungszugriff einzeln aufzählen.

Schritte für die Verwendung des Microsoft Entra Admin Centers

Sie können die Anwendungen, für die ein einzelner Benutzer Berechtigungen erteilt hat, im Microsoft Entra Admin Center nachschlagen:

  1. Öffnen Sie das Microsoft Entra Admin Center unter https://entra.microsoft.com, und wechseln Sie dann zu Identitätsbenutzer>>Alle Benutzer. Oder verwenden Sie https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/, um direkt zu Benutzer>Alle Benutzer zu wechseln.
  2. Suchen Sie den Benutzer, den Sie überprüfen möchten, und wählen Sie diesen aus, indem Sie auf den Wert Anzeigename klicken.
  3. Wählen Sie auf der daraufhin geöffneten Seite mit den Benutzerdetails die Option Anwendungen aus.

Diese Schritte zeigen Ihnen die Apps, die dem Benutzer zugewiesen sind, und welche Berechtigungen die Anwendungen besitzen.

Schritte zum Auflisten des Anwendungszugriffs durch Ihre Benutzer

Bitten Sie Ihre Benutzer, dort ihren eigenen Anwendungszugriff zu https://myapps.microsoft.com überprüfen. Sie sollten in der Lage sein, alle Apps mit Zugriff anzuzeigen, Details zu ihnen (einschließlich des Umfangs des Zugriffs) anzuzeigen und Berechtigungen für verdächtige oder unzulässige Apps zu widerrufen.

Schritte in PowerShell

Die einfachste Möglichkeit zum Überprüfen des Angriffs auf unzulässige Zustimmungsgewährungen besteht darin, Get-AzureADPSPermissions.ps1auszuführen, der alle OAuth-Zustimmungserteilungen und OAuth-Apps für alle Benutzer in Ihrem Mandanten in einer .csv Datei abspeichert.

Voraussetzungen

  • Die Azure AD PowerShell-Bibliothek ist installiert.
  • Globale Administratorberechtigungen in der Organisation, in der das Skript ausgeführt wird.
  • Lokale Administratorberechtigungen auf dem Computer, auf dem Sie die Skripts ausführen.

Wichtig

Es wird dringend empfohlen , dass Sie die mehrstufige Authentifizierung für Ihr Administratorkonto benötigen. Dieses Skript unterstützt die MFA-Authentifizierung.

Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Die Verwendung von Konten mit niedrigeren Berechtigungen trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.

Hinweis

Azure AD Powershell wird voraussichtlich am 30. März 2024 eingestellt werden. Weitere Informationen finden Sie im Update zu Einstellungen.

Es wird empfohlen, zu Microsoft Graph PowerShell zu migrieren, um mit Microsoft Entra ID (früher Azure AD) zu interagieren. Microsoft Graph PowerShell ermöglicht den Zugriff auf alle Microsoft Graph-APIs und ist in PowerShell 7 verfügbar. Antworten auf häufig verwendete Migrationsabfragen finden Sie unter Häufig gestellte Fragen zur Migration.

  1. Melden Sie sich mit lokalen Administratorrechten bei dem Computer an, auf dem Sie die Skripts ausführen möchten.

  2. Laden Sie das Get-AzureADPSPermissions.ps1 Skript von GitHub herunter, oder kopieren Sie es in einen Ordner, der leicht zu finden und zu merken ist. In diesem Ordner müssen Sie auch die Ausgabedatei "permissions.csv" schreiben.

  3. Öffnen Sie eine PowerShell-Sitzung mit erhöhten Rechten als Administrator in dem Ordner, in dem Sie das Skript gespeichert haben.

  4. Stellen Sie mithilfe des Cmdlets Connect-MgGraph eine Verbindung mit Ihrem Verzeichnis her.

  5. Führen Sie diesen PowerShell-Befehl aus:

    .\Get-AzureADPSPermissions.ps1 | Export-csv -Path "Permissions.csv" -NoTypeInformation
    

Das Skript erzeugt eine Datei mit dem Namen Permissions.csv. Führen Sie die folgenden Schritte aus, um nach unzulässigen Anwendungsberechtigungen zu suchen:

  1. Suchen Sie in der Spalte ConsentType (Spalte G) nach dem Wert "AllPrinciples". Die AllPrincipals-Berechtigung ermöglicht der Clientanwendung den Zugriff auf die Inhalte aller Personen im Mandanten. Native Microsoft 365-Anwendungen benötigen diese Berechtigung, um ordnungsgemäß zu funktionieren. Jede Nicht-Microsoft-Anwendung mit dieser Berechtigung sollte sorgfältig überprüft werden.

  2. Überprüfen Sie in der Spalte Berechtigung (Spalte F) die Berechtigungen, die jede delegierte Anwendung zum Inhalt hat. Suchen Sie nach den Berechtigungen "Lesen" und "Schreiben" oder "Alle", und überprüfen Sie diese Berechtigungen sorgfältig, da sie möglicherweise nicht geeignet sind.

  3. Überprüfen Sie die spezifischen Benutzer, denen Zustimmungen erteilt wurden. Wenn Benutzern mit hohem Profil oder hohem Wert unangemessene Zustimmungen erteilt wurden, sollten Sie dies weiter untersuchen.

  4. Suchen Sie in der Spalte ClientDisplayName (Spalte C) nach Apps, die verdächtig erscheinen. Apps mit falsch geschriebenen Namen, super faden Namen oder Hacker-klingenden Namen sollten sorgfältig überprüft werden.

Bestimmen des Umfangs des Angriffs

Nachdem Sie die Bestandsaufnahme des Anwendungszugriffs abgeschlossen haben, überprüfen Sie das Überwachungsprotokoll , um den gesamten Umfang der Sicherheitsverletzung zu ermitteln. Suchen Sie nach den betroffenen Benutzern, den Zeitrahmen, in denen die illegale Anwendung Zugriff auf Ihre Organisation hatte, und nach den Berechtigungen, über die die App verfügte. Sie können das Überwachungsprotokoll im Microsoft Defender-Portal durchsuchen.

Wichtig

Postfachüberwachung und Aktivitätsüberwachung für Administratoren und Benutzer müssen vor dem Angriff aktiviert worden sein, damit Sie diese Informationen erhalten können.

Nachdem Sie die Anwendung mit unzulässigen Berechtigungen identifiziert haben, haben Sie mehrere Möglichkeiten, diesen Zugriff zu entfernen:

  • Sie können die Berechtigung der Anwendung im Microsoft Entra Admin Center widerrufen, indem Sie die folgenden Schritte ausführen:

    1. Öffnen Sie die Microsoft Entra Admin Center unter https://entra.microsoft.com, und wechseln Sie dann zu Identitätsbenutzer>>Alle Benutzer. Oder verwenden Sie https://entra.microsoft.com/#view/Microsoft_AAD_UsersAndTenants/UserManagementMenuBlade/~/AllUsers/menuId/, um direkt zu Benutzer>Alle Benutzer zu wechseln.
    2. Suchen Sie den betroffenen Benutzer, und wählen Sie sie aus, indem Sie auf den Wert Anzeigename klicken.
    3. Wählen Sie auf der daraufhin geöffneten Seite mit den Benutzerdetails die Option Anwendungen aus.
    4. Wählen Sie auf der Seite Anwendungen die unzulässige Anwendung aus, indem Sie auf den Wert Name klicken.
    5. Wählen Sie auf der daraufhin geöffneten Seite Zuweisungsdetailsdie Option Entfernen aus.
  • Sie können die OAuth-Zustimmungsgewährung mit PowerShell widerrufen, indem Sie die Schritte unter Remove-MgOauth2PermissionGrant ausführen.

  • Sie können die Rollenzuweisung der Dienst-App mit PowerShell widerrufen, indem Sie die Schritte unter Remove-MgServicePrincipalAppRoleAssignment ausführen.

  • Sie können die Anmeldung für das betroffene Konto deaktivieren, wodurch der Zugriff auf Daten im Konto durch die App deaktiviert wird. Diese Aktion ist nicht ideal für die Benutzerproduktivität, kann aber eine kurzfristige Korrektur sein, um die Ergebnisse des Angriffs schnell zu begrenzen.

  • Sie können integrierte Anwendungen in Ihrem organization deaktivieren. Diese Aktion ist drastisch. Es verhindert zwar, dass Benutzer versehentlich Zugriff auf eine böswillige App gewähren, aber es verhindert auch, dass alle Benutzer ihre Zustimmung zu Anwendungen erteilen. Wir empfehlen diese Aktion nicht, da sie die Produktivität der Benutzer mit Anwendungen von Drittanbietern stark beeinträchtigt. Sie können integrierte Apps deaktivieren, indem Sie die Schritte unter Aktivieren oder Deaktivieren integrierter Apps ausführen.

Siehe auch