Microsoft ogłosił, że zabezpieczenia przed wyłudzaniem informacji, w tym weryfikacja wydawcy aplikacji OAuth i zasady dotyczące zgody na aplikacje, są teraz dostępne w usłudze Office 365.

Przed jakimi zagrożeniami ma to chronić?

Te zabezpieczenia mają na celu ochronę użytkowników Office 365 przed wariantem ataku phishingowego opartego na aplikacjach, znanym jako consent phishing. W tego rodzaju ataku phishingowym cele są nakłaniane do zapewnienia dostępu do swoich kont Office 365 złośliwym aplikacjom Office 365 OAuth (osoby atakujące aplikacje internetowe rejestrują się u dostawcy OAuth 2.0). Ostatecznym celem atakujących w takich przypadkach jest przejęcie kont Microsoft swoich ofiar i wykonywanie wywołań API w ich imieniu za pośrednictwem aplikacji kontrolowanych przez atakującego.

Microsoft wdraża trzy aktualizacje mające na celu zwiększenie bezpieczeństwa ekosystemu aplikacji Office 365, które będą opierały się na następujących rozwiązaniach:

• Ogólna dostępność weryfikacji wydawcy
• Zgoda użytkownika dla niezweryfikowanych wydawców
• Ogólna dostępność (czyli stosowanie) zasad dotyczących zgody na aplikacje
• Łatwiejsze blokowanie aplikacji pochodzących z niezweryfikowanych źródeł
• Weryfikacja wydawcy umożliwiająca programistom „dodawanie zweryfikowanej tożsamości do rejestracji aplikacji i pokazywanie klientom, że aplikacja pochodzi z autentycznego źródła”

Śladem niebieskiej etykietki

Odkąd te funkcje weszły do publicznej wersji preview w maju, ponad 700 wydawców aplikacji zostało zweryfikowanych przez firmę Microsoft, co daje łącznie ponad 1300 rejestracji aplikacji. Aplikacje opracowane przez zweryfikowanych wydawców mają niebieską plakietkę „zweryfikowany” na wszystkich monitach o wyrażenie zgody na usługę Azure AD, a także w innych oknach, na których są prezentowane, aby ułatwić użytkownikom końcowym weryfikację autentyczności aplikacji.

Nowe, ogólnie dostępne zasady dotyczące zgody użytkownika na aplikacje zapewniają administratorom większą kontrolę nad aplikacjami i uprawnieniami, na które użytkownicy mogą wyrazić zgodę. Microsoft ma apel do administratorów w firmach:

Aby zmniejszyć ryzyko, że złośliwe aplikacje będą próbowały nakłonić użytkowników do udzielenia im dostępu do danych w danej organizacji, zalecamy zezwolenie na udzielenie przez użytkownika zgody tylko na te aplikacje, które zostały opublikowane przez zweryfikowanego wydawcę.

Po skonfigurowaniu zasad dotyczących zgody na aplikacje użytkownicy będą mogli przyznawać uprawnienia tylko aplikacjom opracowanym przez zweryfikowanych wydawców, blokując w ten sposób przyszłe ataki typu phishing.

Korzystając z Azure AD PowerShell, administratorzy mogą również konfigurować niestandardowe zasady dotyczące zgody na aplikacje, gdy potrzebują bardziej szczegółowej kontroli nad poczynaniami swoich użytkowników.

Konfiguracja w portalu Azure

Sprawdź oferty pracy w Azure na TeamQuest.

Aby skonfigurować ustawienia zgody użytkownika za pośrednictwem Azure Portal, administratorzy muszą wykonać następujące kroki:

1. Zaloguj się do Azure Portal jako administrator globalny.
2. Wybierz pozycję Azure Active Directory > aplikacje dla przedsiębiorstw > zgoda i uprawnienia > ustawienia zgody użytkownika (Azure Active Directory > Enterprise applications > Consent and permissions > User consent settings).
3. W sekcji Zgoda użytkownika na aplikacje (User consent for applications) wybierz ustawienie zgody, które chcesz skonfigurować dla wszystkich użytkowników.
4. Wybierz Zapisz (Save), aby zapisać ustawienia.