Über die 5-Minuten-Jagd: Die 5-Minuten-Jagd ist eine neue Funktion, die in der Vectra AI unter der Registerkarte Investigate. Jede Woche finden Sie einen kurzen Jagdausschnitt im Produkt, der ein bestimmtes Angreiferverhalten hervorhebt und Ihnen eine fertige Abfrage zur Erkennung dieses Verhaltens bietet.
Warum Multi-Tenant-Apps ein Risiko für Sie darstellen
Die mandantenfähigen Anwendungen in Microsoft 365 sind für den organisationsübergreifenden Zugriff konzipiert, aber wenn sie falsch konfiguriert sind, können sie eine gefährliche Hintertür schaffen. Ein einziger Schalter kann interne Ressourcen für externe Benutzer freigeben. Angreifer nutzen dies durch zustimmungsbasierte Angriffe aus und verschaffen sich so unbefugten Zugang, ohne Anmeldedaten zu stehlen. Sicherheitsforscher haben kürzlich gezeigt, wie genau diese Schwachstelle den Zugriff auf mehr als 22 interne Microsoft-Dienste ermöglicht. Für SOC-Teams bedeutet dies, dass falsch konfigurierte oder unbeabsichtigt aktivierte mandantenfähige Anwendungen die Angriffsfläche erheblich vergrößern.
Wie Angreifer Multi-Tenant-Apps ausnutzen
Die Angreifer nutzen diese Schwächen auf verschiedene Weise aus:
- Phishing im großen Stil
Wenn eine mandantenfähige App offengelegt wird, können Angreifer Benutzer dazu bringen, ihre OAuth-Zustimmung zu erteilen. Nach der Zustimmung erhält die vom Angreifer kontrollierte App legitime Token für den Zugriff auf Ressourcen, ohne dass Anmeldeinformationen gestohlen werden müssen. - Token-Ausgabe von der falschen Autorität
In Fällen, in denen eine Anwendung fälschlicherweise als Multi-Tenant registriert ist, kann Entra ID Zugriffstoken vom eigenen Tenant des Benutzers und nicht vom Ressourcen-Tenant ausgeben. Dies bedeutet, dass der Angreifer zwar authentifiziert ist, aber von der falschen Autorität, die Prüfungen umgeht und Zugriff erhält, den die Anwendung nie gewähren wollte. - Instantiierung von Dienstprinzipien
Durch die Annahme einer Zustimmungsaufforderung wird automatisch ein Dienstprinzipal für die Anwendung im Tenant des Opfers erstellt. Angreifer nutzen dies aus, um den Zugriff aufrechtzuerhalten oder den Geltungsbereich zu erweitern, indem sie Berechtigungen für andere Anwendungen verketten. - Aufzählung anfälliger Apps
Durch Scannen von Subdomänen und Analysieren von client_id-Parametern können Angreifer feststellen, welche Apps als mandantenfähig konfiguriert sind. Jede von ihnen wird zu einem potenziellen Einstiegspunkt, insbesondere wenn die Entwickler von einer mandantenfähigen Nutzung ausgingen, aber gemeinsame Endpunkte aktiviert ließen. - Wechsel zu internen Systemen
Sobald der Zugriff erfolgt ist, können Angreifer verbundene Anwendungen, interne Portale oder APIs untersuchen. In der Microsoft-Fallstudie führte dies zur Aufdeckung von Engineering Hubs, Risikoregistern und sogar der Build-Infrastruktur - alles zugänglich über ein persönliches Microsoft 365-Konto.
Das Risiko liegt nicht in einem einzelnen Fehltritt, sondern in der Art und Weise, wie mandantenfähige Einstellungen mit der Zustimmung und der Token-Ausgabe interagieren. Eine schlecht konfigurierte Anwendung kann die gesamte Umgebung für unbefugte Benutzer öffnen und Angreifern die Möglichkeit geben, sensible Daten auszuspähen oder ihre Rechte zu erweitern.
Ausbeutung in Entdeckung verwandeln
Lassen Sie uns nun herausfinden, wie Sie diese Risiken in Ihrer eigenen Entra ID Umgebung erkennen können. Fehlkonfigurationen hinterlassen nicht immer offensichtliche Spuren, aber jede Änderung in Entra ID hinterlässt einen Prüfpfad. Wenn Sie sich darauf konzentrieren, wann die AvailableToOtherTenants-Eigenschaft einer Anwendung auf "true" gesetzt wird, können Sie schnell Fälle identifizieren, in denen eine Anwendung absichtlich oder unabsichtlich zu einem Multi-Tenant gemacht wurde.
Die folgende Abfrage wurde entwickelt, um genau das aufzudecken. Sie sucht nach kürzlichen Änderungen, die einen mandantenfähigen Zugriff ermöglichen, und liefert den Kontext, den Sie benötigen - wer die Änderung vorgenommen hat, von wo und wann -, um zu entscheiden, ob die Aktion legitim oder verdächtig ist.
Ziel der Abfrage: Erkennen, ob Anwendungen im Mandanten geändert wurden, um den mandantenübergreifenden Zugriff zu ermöglichen, und Untersuchung der Änderungsdetails:
SELECT timestamp, vectra.identity_principal, operation, extended_properties, object_id, device_properties, client_ip, modified_properties
FROM m365.active_directory._all WHERE any_match(modified_properties, m -> (m.display_name
LIKE '%AvailableToOtherTenants%' AND m.new_value LIKE '%true%'))
AND timestamp > date_add('day',-30, now())
ORDER BY timestamp DESC
LIMIT 100Worauf Sie bei den Ergebnissen achten sollten
Wenn Sie diese Abfrage ausführen, geben Ihnen die Ergebnisse einen klaren Überblick darüber, wie und wann Anwendungen geändert werden, um einen mandantenfähigen Zugriff zu ermöglichen. Um legitime geschäftliche Änderungen von potenziell bösartigen Aktivitäten zu unterscheiden, sollten Sie Ihre Aufmerksamkeit auf diese Bereiche richten:
- Für den mandantenübergreifenden Zugriff geänderte Anwendungen
Schauen Sie sich genau an, welche Anwendungen so umgestellt wurden, dass sie andere Mandanten zulassen. Geschäftskritische Anwendungen benötigen diese Einstellung nur selten, daher sollten unerwartete Einträge eine rote Fahne auslösen. - Die Identität oder der Benutzer, der die Änderung vorgenommen hat
Das Feld vectra.identity_principal zeigt, wer die Änderung vorgenommen hat. War es ein Entwickler, Administrator oder ein Konto, das normalerweise keine App-Registrierungen vornehmen sollte? Dieser Kontext kann schnell auf einen Insider-Fehler oder eine externe Kompromittierung hinweisen. - Client-IP-Adressen von Änderungsanfragen
Vergleichen Sie die client_ip mit Ihren bekannten Bereichen oder Geolokalisierungsdaten. Unbekannte IPs, fremde Geografien oder bekannte böswillige Quellen könnten auf die Hand eines Angreifers bei der Änderung hinweisen. - Zeitliche Muster der Änderungen
Achten Sie darauf, wann die Konfigurationsänderungen vorgenommen wurden. Aktivitäten außerhalb der Geschäftszeiten, Häufungen mehrerer Änderungen oder ungewöhnliche Häufungen an Wochenenden und Feiertagen passen oft zum Verhalten von Angreifern. Durch die Kombination dieser Datenpunkte können Sie routinemäßige IT-Vorgänge von verdächtigen Änderungen unterscheiden, die eine genauere Untersuchung verdienen.
Wie man weiter nachforscht
Wenn Ihre Abfrage auf Anwendungen stößt, die mandantenfähig gemacht wurden, führen Sie die folgenden Schritte aus, um festzustellen, ob die Änderung sicher, beabsichtigt oder böswillig ist:
- Überprüfen Sie, ob die Multi-Tenant-Konfiguration beabsichtigt und genehmigt war
- Überprüfung der Genehmigungen und des Geltungsbereichs des Antrags, um mögliche Auswirkungen zu bewerten
- Prüfen, ob das ändernde Benutzerkonto kompromittiert wurde
- Untersuchen Sie die Client-IP auf geografische Anomalien oder bekannte bösartige Quellen
- Validierung der geschäftlichen Rechtfertigung für mandantenfähige Zugangsanforderungen
- Erwägen Sie, die Anwendung vorübergehend zu deaktivieren, wenn die Änderung unberechtigt erscheint.
Abschließende Überlegungen
Eine einzige falsch konfigurierte Anwendung kann Angreifern Zugang verschaffen, den sie niemals erhalten sollten. Wenn Ihr SOC-Team diese Suche regelmäßig durchführt, kann es nicht autorisierte Änderungen schnell aufdecken und den auf Zustimmung basierenden Missbrauch beenden, bevor er eskaliert.
Wenn Sie die Vectra AI bereits nutzen, können Sie diese und andere Jagden direkt auf der Plattform unter der Registerkarte "Investigate" (Untersuchen) erkunden. Dort werden regelmäßig neue 5-Minuten-Jagden veröffentlicht, die Ihnen helfen, das Verhalten von Angreifern schneller aufzudecken.
Sie sind noch kein Kunde? Erleben Sie die 5-Minuten-Jagd in Aktion und erfahren Sie, wie die Vectra AI Identitäts-, Netzwerk- und cloud schließt - mit unserer selbstgeführten Demo.
