Отже, тепер можна повторно використовувати додаток OAuth і включити дозволи. Тепер ми можемо автентифікуватися через той самий ідентифікатор додатку та облікові дані і вибрати цільового продуктивного тенанта.
Група створена у продуктивному тенанті, який має авторизацію за допомогою service principal, зібраного на попередніх кроках у першому тенанті. При наявності дозволу MS Graph API Application.ReadWrite.All можна створювати додаткові зловмисні OAuth-додатки у продуктивному середовищі тенанту та використовувати доступ на основі нових OAuth-додатків.
Згідно зі звітом від Microsoft, зловмисники створили нові OAuth-додатки у продуктивному тенанті з підвищеними/новими дозволами. У продуктивному тенанті відбулися зміни в OAuth-додатку, включаючи дозвіл AppRoleAssignment.ReadWrite.All. За допомогою дозволу Graph API у попередній версії можна додавати нові програми OAuth і надавати необхідні дозволи, наприклад, роль Office 365 Exchange Online full_access_as_app, яка надає доступ до всіх поштових скриньок.
Роль додатка AppRoleAssignment.ReadWrite.All MS Graph обходить процедуру отримання згоди. Це зроблено за замовчуванням, що дозволяє створювати нові додатки з усіма дозволами. Оскільки це дозволяє надавати будь-які дозволи лише для додатків, включно з RoleManagement.ReadWrite.Directory. Це може бути використано для надання будь-кому або додатку більш високих дозволів, включно з правами адміністратора.
Для обмеження ризику створення OAuth-додатків, у системі тенанту можна змінити/налаштувати такі параметри, щоб зменшити ризики. За замовчуванням будь-який користувач може створювати реєстрації додатків і погоджуватися з дозволами Microsoft Graph. Коли цей контроль посилено, можливість створювати реєстрації програм вимагає наявності наступних ролей:
- Application Administrator
- Cloud-Application Administration
- Global administrators
Для обмеження області дії атаки важливо перевірити наступні моменти:
В Центрі адміністрування Microsoft 365 можна вимкнути згоду для програм. Якщо цей параметр вимкнено, адміністратори повинні надавати згоду програмам.