Určitě víte, že Microsoft disponuje poměrně rozsáhlou sbírkou všemožných bezpečnostních certifikací. To je super, má to klasické ALE …
Ve výchozím nastavení není vše ideálně nastavené a tohle je přímo nebezpečné!
Schválení žádosti externí aplikace při přístupu k Vašim datům v M365
Útočník nebude potřebovat ukrást vůbec nic a bude mít téměř trvalý přístup k vašim datům aniž byste cokoliv tušili. Uživatel mu přístup k datům ve výchozím nastavení totiž dá sám …
Možná si říkáte proboha proč, já přece nejsem taková „trubka, lama“, abych to udělal. Jenže …
Existuje poměrně hodně aplikací, pluginů, které vyžadují tzv. aplikační souhlas (application consent) pro přístup Vašim datům. A je to validní požadavek – určitě znáte např. Calendly, potřebuje přístup k Vašemu kalendáři, aby mohl efektivně on-line plánovat schůzky. Ve výchozím nastavení tohle může schválit i běžný uživatel a tady je ten problém. Uživatelé moc nečtou a nepřemýšlí, co schvalují.
Představte si situaci, že bych vytvořil AI aplikaci, která jako bonus pro čtenáře našeho newsletteru zkontroluje ZDARMA zabezpečení vašeho prostředí M365 (Jako bonus bych si vyžádal práva na přístup k vašim mailům a datům). Dialog nebude vypadat nějak děsivě a uživatel ho schválí. Od téhle doby můžu téměř vše :-). AI dneska frčí, zaměstnanci chtějí mít plusové body za AI – to někde určitě klapne 😉.
Co s tím?
Omezte právo na schválení aplikací např. pro vybrané administrátory. Přijde jim notifikace o tom, že uživatel XY chce instalovat aplikace, která vyžaduje seznam těchto oprávnění. Je pak na adminovi, aby rozhodl, zda je to v pořádku nebo ne.
P.S. Zajímavé odkazy jsou v prvním komentáři.