À propos de la chasse en 5 minutes : La chasse en 5 minutes est une nouvelle fonctionnalité disponible dans la plateforme d'IA de plateformeVectra AI sous l'onglet Investigation. Chaque semaine, vous trouverez dans le produit un court extrait de chasse qui met en évidence un comportement spécifique de l'attaquant et vous donne une requête prête à être exécutée pour le détecter.
Pourquoi les applications multi-locataires vous mettent-elles en danger ?
Les applications multi-locataires de Microsoft 365 sont conçues pour un accès inter-organisationnel, mais lorsqu'elles sont mal configurées, elles peuvent créer une dangereuse porte dérobée. Une simple bascule peut exposer des ressources internes à des utilisateurs externes. Les attaquants exploitent cette faille par le biais d'attaques basées sur le consentement, obtenant ainsi un accès non autorisé sans voler d'informations d'identification. Des chercheurs en sécurité ont récemment démontré comment cette faiblesse exacte permettait d'accéder à plus de 22 services internes de Microsoft. Pour les équipes SOC, cela signifie que les applications multi-locataires mal configurées ou activées involontairement élargissent considérablement la surface d'attaque.
Comment les attaquants exploitent les applications multi-locataires
Les adversaires profitent de ces faiblesses de plusieurs façons :
- Consent Phishing at Scale
Lorsqu'une application multi-tenant est exposée, les attaquants peuvent inciter les utilisateurs à donner leur consentement OAuth. Une fois approuvée, l'application contrôlée par l'attaquant obtient des jetons légitimes pour accéder aux ressources sans avoir besoin de voler des informations d'identification. - Émission de jetons par la mauvaise autorité
Dans les cas où une application est incorrectement enregistrée comme multi-locataire, Entra ID peut émettre des jetons d'accès à partir du propre locataire de l'utilisateur plutôt qu'à partir du locataire de la ressource. Cela signifie que l'attaquant est authentifié, mais par la mauvaise autorité, contournant les contrôles et héritant de l'accès que l'application n'a jamais eu l'intention d'accorder. - Instanciation du principal de service
L'acceptation d'une demande de consentement crée automatiquement un principal de service pour l'application dans le locataire de la victime. Les attaquants exploitent cela pour maintenir l'accès ou augmenter la portée en enchaînant les permissions à travers d'autres applications. - Dénombrement des applications vulnérables
En analysant les sous-domaines et les paramètres client_id, les attaquants peuvent identifier les applications configurées en tant que multi-locataires. Chacune d'entre elles devient un point d'entrée potentiel, en particulier si les développeurs ont supposé une utilisation à locataire unique mais ont laissé les points de terminaison communs activés. - Pivoter vers les systèmes internes
Une fois l'accès obtenu, les attaquants peuvent explorer les applications connectées, les portails internes ou les API. Dans l'étude de cas de Microsoft, cela s'est traduit par l'exposition de hubs d'ingénierie, de registres de risques et même d'infrastructures de construction, tous accessibles à partir d'un compte personnel Microsoft 365.
Le risque ne réside pas dans un seul faux pas, mais dans la façon dont les paramètres multi-locataires interagissent avec le consentement et l'émission de jetons. Une application mal configurée peut ouvrir l'ensemble de l'environnement à des utilisateurs non autorisés, donnant ainsi aux attaquants la possibilité d'explorer des données sensibles ou d'élever leurs privilèges.
Transformer l'exploitation en détection
Voyons maintenant comment repérer ces risques dans votre propre environnement Entra ID. Les mauvaises configurations ne laissent pas toujours de traces évidentes, mais chaque changement dans Entra ID laisse une piste d'audit. En vous concentrant sur le moment où la propriétéAvailableToOtherTenants d'une application passe à "true", vous pouvez rapidement identifier les cas où une application a été rendue multi-tenante, intentionnellement ou non.
La requête suivante est conçue pour faire apparaître exactement cela. Elle recherche les modifications récentes qui permettent un accès multi-locataires et fournit le contexte dont vous avez besoin - qui a effectué la modification, d'où et quand - pour décider si l'action est légitime ou suspecte.
Objectif de la requête : Détecter si les applications du locataire ont été modifiées pour permettre un accès multi-locataire et rechercher les détails de la modification :
SELECT timestamp, vectra.identity_principal, operation, extended_properties, object_id, device_properties, client_ip, modified_properties
FROM m365.active_directory._all WHERE any_match(modified_properties, m -> (m.display_name
LIKE '%AvailableToOtherTenants%' AND m.new_value LIKE '%true%'))
AND timestamp > date_add('day',-30, now())
ORDER BY timestamp DESC
LIMITE 100Ce qu'il faut rechercher dans les résultats
Lorsque vous exécutez cette requête, les résultats vous donnent une vision claire de la manière dont les applications sont modifiées pour permettre un accès multi-locataires et du moment où elles le sont. Pour distinguer les changements commerciaux légitimes des activités malveillantes potentielles, concentrez votre attention sur ces domaines :
- Applications modifiées pour un accès multi-locataires
Examinez attentivement les applications qui ont été modifiées pour autoriser d'autres locataires. Les applications critiques pour l'entreprise ont rarement besoin de ce paramètre, les entrées inattendues doivent donc déclencher un signal d'alarme. - L'identité ou l'utilisateur qui a effectué la modification
Le champ vectra.identity_principal indique qui a effectué la modification. S'agit-il d'un développeur, d'un administrateur ou d'un compte qui ne devrait normalement pas s'occuper des enregistrements d'applications ? Ce contexte peut rapidement indiquer une erreur individu ou une compromission externe. - Adresses IP des clients des demandes de modification
Recouper l'adresse IP du client avec vos plages connues ou vos données de géolocalisation. Des adresses IP inconnues, des zones géographiques étrangères ou des sources malveillantes connues peuvent indiquer qu'un attaquant est à l'origine de la modification. - Modèles temporels des modifications
Prêtez attention au moment où les changements de configuration ont eu lieu. Les activités en dehors des heures de bureau, les rafales de modifications multiples ou les regroupements inhabituels autour des week-ends et des jours fériés correspondent souvent au comportement des attaquants. En combinant ces points de données, vous pouvez distinguer les opérations informatiques de routine des modifications suspectes qui méritent un examen plus approfondi.
Comment approfondir l'enquête
Si votre requête fait apparaître des applications qui ont été rendues multi-locataires, utilisez les étapes suivantes pour déterminer si le changement est sûr, intentionnel ou malveillant :
- Vérifier si la configuration multi-locataires était intentionnelle et autorisée
- Examiner les autorisations et le champ d'application de la demande afin d'en évaluer l'impact potentiel
- Vérifier si le compte de l'utilisateur qui modifie a été compromis
- Examiner l'IP du client pour y déceler des anomalies géographiques ou des sources malveillantes connues.
- Valider la justification commerciale des exigences en matière d'accès multi-locataires
- Envisagez de désactiver temporairement l'application si le changement semble non autorisé.
Réflexions finales
Une application mal configurée peut donner aux attaquants un accès qu'ils n'auraient jamais dû avoir. En effectuant régulièrement cette chasse, votre équipe SOC peut rapidement détecter les changements non autorisés et mettre fin aux abus basés sur le consentement avant qu'ils ne s'aggravent.
Si vous utilisez déjà la plateformeVectra AI , vous pouvez explorer cette chasse et d'autres à l'intérieur même de la plateforme sous l'onglet Investigate, où de nouvelles chasses de 5 minutes sont publiées régulièrement pour vous aider à découvrir plus rapidement les comportements des attaquants.
Vous n'êtes pas encore client ? Découvrez la capacité de chasse en 5 minutes en action et apprenez comment la plateforme Vectra AI Platform comble les lacunes en matière de détection des identités, des réseaux et des cloud grâce à notre démonstration autoguidée.
