Role Assignable Group Privilege Escalation [CHK-1180]
Deze controle detecteert role assignable groups waarbij eigenaren de toegewezen rollen niet hebben, wat privilege escalatie kwetsbaarheden creëert.
Alle RAG groepen waarvan de eigenaar de rol niet heeft worden uitgefilterd. Gebruikers met een Tier0 rol worden uitgesloten.
Rationale
Role assignable groups die eigendom zijn van gebruikers zonder de toegewezen rollen van de groep creëren een privilege escalatie kwetsbaarheid. Eigenaren kunnen zichzelf als lid toevoegen om verhoogde rechten te verkrijgen die ze niet zouden moeten hebben.
Fix
Een geautomatiseerde fix is beschikbaar via Attic.
Voor handmatige stappen:
- Navigeer naar Microsoft Entra admin center https://entra.microsoft.com
- Selecteer Groups en vervolgens Role assignable groups.
- Bekijk de role assignable group(s) van het incident rapport en controleer de owners die niet de toegewezen rollen hebben.
- Als dit in error is, klik op "Edit" en verwijder de owner van de groep of voeg de vereiste rollen toe aan de owner.
Impact
Het controleren en corrigeren van deze kwetsbaarheid zorgt ervoor dat gebruikers geen ongepaste toegang krijgen tot verhoogde rechten.
Meer informatie
Voor meer informatie over (over)delen, groepstoegang en andere m365 resources in m365, bekijk dan onze partner tool M365Permissions.