Microsoft brinda a sus socios la capacidad de cambiar los privilegios de AD en los sistemas de los clientes, sin permiso.

Microsoft ha creado una ventana durante la cual sus socios pueden, sin permiso, crear nuevos roles para ellos mismos en las aplicaciones de Active Directory para los clientes.

Lo que suena loco, así que expliquemos por qué Microsoft incluso consideró la posibilidad.

Para empezar, recuerde que los delincuentes han descubierto que atacar a los proveedores de servicios de TI ofrece una excelente manera de encontrar muchos otros objetivos. Se pueden encontrar pruebas de este enfoque en los ataques a ConnectWise, SolarWinds, Kaseya y otros proveedores que proporcionan software a los proveedores de servicios de TI.

Microsoft reconoció el hecho de que sus socios también podrían ser objeto de ataques y descubrió una debilidad en los privilegios de administrador delegado (DAP) que otorgan los socios para administrar las compras de software por parte de los clientes.

empresa de reparación es privilegios granulares de administrador delegado (GDAP) que, como sugiere su nombre, aún permite a los socios administrar a sus clientes pero proporciona un mejor control y sigue principios de desconfianza para que los socios se limiten a ciertas acciones.

Hoy, GDAP «permite que el socio solicite y que el cliente dé su consentimiento para roles específicos de Azure Active Directory, lo que permite que el socio realice actividades de administrador en nombre del cliente».

Microsoft está muy interesado en GDAP. Que ganas de que llegue el 30 de junio anunciar el seguimiento:

La motivación de Microsoft es simple: quiere que los socios adopten GDAP para que sus interacciones con los clientes sean más seguras.

Los socios no conservarán este poder de cambiar las plataformas de los clientes para siempre. La herramienta solo se ejecutará hasta el 31 de octubre de 2022, después de la cual los clientes nuevamente deberán aceptar crear nuevas relaciones GDAP.

Pero en los 98 días desde que esta herramienta entró en funcionamiento, los socios pueden crear roles GDAP sin la intervención del cliente.

registro Afirma que los delincuentes también pueden estar ocupados esos días, solo haciendo el tipo de ataques de socios que Microsoft espera que GDAP evite.

Microsoft proporcionará más información sobre la herramienta el 11 de julio.

Claramente, los clientes que trabajan con socios de Microsoft pueden querer tener una conversación sobre GDAP antes de que aparezca la herramienta. ®