Overslaan naar inhoud
Nederlands
Neem contact met ons op
  • Er zijn geen suggesties want het zoekveld is leeg.

CA Platform Bypass Detectie [CHK-1181]

Deze check identificeert Conditional Access policies die platform-gebaseerde voorwaarden gebruiken, welke kunnen worden omzeild door user-agent manipulatie. De check scant alle actieve Conditional Access policies op platform-filtering (zowel included als excluded platforms) en evalueert de bijbehorende grant controls — inclusief MFA-vereisten, compliant device requirements en block-acties.

Policies die alleen specifieke platforms targeten of bepaalde platforms uitsluiten zonder device compliance te vereisen, worden gemarkeerd als bypass-risico. Policies die zijn geconfigureerd in de toegestane policies whitelist (CHK1181_allowedPolicies) worden uitgesloten van rapportage.

Reden

Conditional Access policies die vertrouwen op device platform voorwaarden (bijv. alleen gericht op Windows en macOS, of Linux uitsluiten) gebruiken de user-agent string die door de client wordt gerapporteerd om het platform te bepalen. Dit is een client-controlled waarde die triviaal kan worden gespoofed door een aanvaller. Door de user-agent string aan te passen kan een aanvaller zich voordoen als een platform dat is uitgesloten van het beleid of niet wordt gedekt, waardoor alle controls die door dat beleid worden afgedwongen effectief worden omzeild.

Deze bypass-techniek is goed gedocumenteerd en wordt regelmatig geëxploiteerd. Een policy die bijvoorbeeld MFA alleen vereist voor Windows en macOS apparaten kan worden omzeild door een aanvaller die zijn user-agent wijzigt om te rapporteren als een Linux of mobiel apparaat. Op dezelfde manier kan een policy die toegang blokkeert vanaf bepaalde platforms worden omzeild door een ander platform te spoofen.

De enige betrouwbare mitigatie voor platform-gebaseerde bypass is het vereisen van een compliant of domain-joined apparaat, omdat device compliance server-side wordt gevalideerd en niet kan worden gespoofed via user-agent manipulatie. Policies die platform-voorwaarden afdwingen zonder ook device compliance te vereisen, moeten worden beoordeeld en versterkt.

Fix

Er is geen geautomatiseerde fix beschikbaar voor deze check.

Handmatige stappen:

  1. Open de Azure Portal en navigeer naar Microsoft Entra ID > Protection > Conditional Access.
  2. Bekijk elke policy die in de check output wordt vermeld met platform-gebaseerde voorwaarden.
  3. Overweeg voor policies met bypass-risico een van de volgende mitigaties:
    • Verwijder platform-voorwaarden en pas het beleid toe op alle platforms. Dit is de meest veilige aanpak.
    • Voeg een compliant device requirement toe aan de policy grant controls. Dit zorgt voor server-side validatie ongeacht het gerapporteerde platform.
    • Maak een aanvullend beleid dat de overige platforms dekt om de gap te sluiten.
  4. Als een platform-gebaseerde policy moet blijven bestaan (bijv. voor een specifiek gebruik), voeg deze dan toe aan de Allowed Policies whitelist (CHK1181_allowedPolicies) met een gedocumenteerde rechtvaardiging.
  5. Test wijzigingen grondig om te zorgen dat legitieme gebruikers niet worden geblokkeerd.

Impact

Dit is een data-only monitoring check die geen tickets aanmaakt of alerts triggert. De check biedt beveiligingsteams inzicht in welke Conditional Access policies kwetsbaar zijn voor platform-gebaseerde bypass-aanvallen. Het aanpakken van deze bevindingen door platform-voorwaarden te verwijderen of device compliance requirements toe te voegen sluit een veelvoorkomende aanvalsvector en versterkt de algehele Conditional Access posture.

Meer informatie