애플리케이션에 대한 무제한 사용자 동의

MEDIUM

설명

Entra ID는 OAuth 2.0 위임 메커니즘을 구현하여 사용자가 모든 타사 애플리케이션에 동의할 수 있도록 합니다. 그러면 사용자는 이러한 애플리케이션에 자신의 데이터에 대한 액세스 권한과, 더 나아가 자신이 액세스할 수 있는 모든 조직 데이터에 대한 액세스 권한을 부여하게 됩니다.

공격자는 종종 적법한 비즈니스 애플리케이션으로 가장하며 중요한 권한을 요구하는 악성 애플리케이션을 사용하여 소셜 엔지니어링 공격을 고안했습니다. 이러한 권한을 허용하면 공격자가 데이터를 훔치거나 사용자를 대신하여 작업을 수행할 수 있게 됩니다. 이러한 공격을 "불법적인 동의 부여" 또는 "동의 피싱"이라고 합니다.

Entra ID는 애플리케이션에 대한 사용자 동의와 관련해 다음 세 가지 옵션을 제공합니다.

  • "사용자 동의 허용 안 함": 가장 안전한 옵션입니다.
  • "확인된 게시자의 앱에 대하여 선택한 권한에 대해서만 사용자 동의 허용": 덜 중요한 권한만 허용하고 "확인된 게시자"의 애플리케이션으로만 액세스를 제한하여 위험을 완화하는 옵션이기 때문에 Microsoft에서는 이 중간 옵션을 권장합니다.
  • "앱에 대한 사용자 동의 허용": 기본적으로, 보안이 가장 낮은 이 옵션을 사용하면 사용자가 외부 애플리케이션을 포함한 모든 애플리케이션에 대부분의 권한에 대하여 동의하도록 허용하게 됩니다(단, 관리자 전용 권한은 예외).

기본적으로 IoE는 Entra ID에서 덜 안전한 옵션만 정확하지 않은 것으로 플래그합니다. 보안 민감도를 높이려면 IoE의 "엄격" 옵션을 사용할 수 있습니다. Entra ID의 덜 안전한 옵션과 중간 옵션을 둘 다 플래그합니다.

CISA "Microsoft Entra ID용 M365 보안 구성 기준"(BOD 25-01에서 필수로 지정)의 MS.AAD.5.2v1 정책에 따라 "관리자만 애플리케이션에 동의하도록 허용되어야" 합니다.

솔루션

Tenable에서는 적어도 중간 옵션인 "확인된 게시자의 앱에 대하여 선택한 권한에 대해서만 사용자 동의 허용"을 선택하여 Microsoft의 조언을 따를 것을 권장합니다. 보안 요구 사항이 더 엄격한 조직인 경우, 가장 안전한 옵션인 "사용자 동의 허용 안 함"을 선택할 수 있습니다.

제한을 사용하려면 애플리케이션에 대한 동의를 관리하고 동의 요청을 평가하는 역할이 있는 Microsoft Entra 관리자가 필요합니다. 관리자는 관리자 동의 요청도 검토해야 하며 워크로드가 늘어납니다. 관리자는 적법한 애플리케이션과 권한만 유효성을 검사하도록 적절한 교육을 받아야 합니다.

사용자가 애플리케이션에 동의하는 방법 구성에 관해 설명하는 Microsoft 가이드를 따르십시오. 이 가이드에는 Microsoft Entra 관리자 센터, Microsoft Graph PowerShell 또는 Microsoft Graph API 이용 방법에 관한 안내가 포함되어 있습니다.

선택한 옵션을 변경해도 이전 동의가 취소되지는 않습니다.​ 따라서 소셜 엔지니어링 공격이 이 기법을 악용했을 수 있다고 생각하는 경우 주의하시기 바랍니다. 악성일 수 있거나 과도하게 허용된 권한을 식별하려면 "테넌트에 영향을 미치는 위험한 API 권한" 및 "데이터에 영향을 미치는 위험한 API 권한" IoE의 결과를 참조하십시오.

또한 "위험 기반 단계별 동의"를 사용으로 설정하는 것도 고려할 수 있습니다.

지표 세부 정보

이름: 애플리케이션에 대한 무제한 사용자 동의

코드명: UNRESTRICTED-USER-CONSENT-FOR-APPLICATIONS

심각도: Medium

유형: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 정보: