Aunque ya ha sido corregido, Microsoft permitía que usuarios sin privilegios actualizasen sus propios Nombres Principales de Usuario (UPN, por sus siglas en inglés) en Entra ID, lo que ha generado preocupaciones sobre la seguridad y la supervisión administrativa.
Para que se entienda mejor, un usuario sin privilegios puede actualizar el nombre principal de usuario (UPN) de su propia cuenta de Entra ID, pero no el de otros.
Lo que es difícil entender por qué alguna organización permitiría intencionalmente que los usuarios pudiesen modificar un atributo tan importante como un UPN, aunque esta capacidad exista.
Este cambio, podía ejecutarse a través del centro de administración de Entra ID o herramientas como Microsoft Graph PowerShell SDK.
Anteriormente, las actualizaciones de UPN estaban típicamente restringidas a los administradores. Sin embargo, hasta que ha sido corregido era posible que cualquier usuario modificase su propio UPN, que es un identificador crítico para acceder a los servicios de Microsoft.
Las pruebas confirmaron que los usuarios podían navegar a las propiedades de su cuenta en el centro de administración de Entra y editar directamente sus UPN.
Esta actualización también podía realizarse utilizando el Microsoft Graph PowerShell SDK, ya que ambas interfaces dependen de la API de Usuarios de Microsoft Graph.
Propiedades de la cuenta de Entra de Eric Hammond
Propiedades de la cuenta después de actualizar el nombre principal de usuario y la foto
Esta actualización también afectaba a otras propiedades relacionadas.
Por ejemplo, cambiar un UPN actualiza automáticamente la dirección SMTP principal en Exchange Online debido a la sincronización entre Entra ID y Exchange Online.
La antigua dirección SMTP principal permanecía como una dirección proxy que garantizaba la continuidad en la entrega de correos electrónicos.
Después que el usuario pudiese validar que el cambio del UPN era posible, también podía actualizar su foto a través del centro de administración de Entra ID, el investigador intentó hacerlo con el Microsoft Graph PowerShell SDK.
Get-Mailbox -identity [email protected] | Select-Object -ExpandProperty emailaddresses
SIP:[email protected]
SMTP:[email protected]
smtp:[email protected]
smtp:[email protected]
Actualización de un nombre principal de usuario con el Microsoft Graph PowerShell SDK
Permitir que los usuarios alteren sus UPNs levanta varias alertas de seguridad.
Por ejemplo, un usuario malicioso podría cambiar temporalmente su UPN para hacerse pasar por otra persona. Por ejemplo, el CEO de la empresa ([email protected]), acceder a esa dirección de correo electrónico y luego revertir a su UPN original.
Si los administradores no están monitoreando activamente los registros de auditoría, tales cambios podrían pasar desapercibidos.
Además, revertir un cambio de UPN no elimina automáticamente la dirección de correo electrónico proxy adicional creada durante el proceso. Esto podría llevar a complicaciones o malos usos si no se aborda explícitamente por parte de los administradores.
Bloqueo del Acceso de Usuarios
Las organizaciones preocupadas por esta capacidad pueden aplicar medidas para limitar el acceso de los usuarios:
- Restringir el Acceso al Centro de Administración de Entra ID: Los administradores pueden configurar ajustes para bloquear el acceso de usuarios no administrativos al centro de administración de Entra. Aunque esto no impide completamente que usuarios con roles de bajo nivel (por ejemplo, Lector de Informes) realicen cambios, reduce el acceso casual.
- Proteger el Microsoft Graph PowerShell SDK: Por defecto, cualquier usuario puede conectarse al Microsoft Graph PowerShell SDK utilizando el cmdlet Connect-MgGraph. Los administradores pueden proteger esto restringiendo el acceso a través de los ajustes de la aplicación empresarial asociada. Sin los permisos adecuados, los usuarios que intenten conectarse encontrarán un error AADSTS50105.
La razón por la cual Microsoft tenía habilitada esta capacidad sigue siendo un misterio. Aunque Microsoft suele implementar cambios con casos de uso específicos, no se ha proporcionado una justificación clara para permitir que usuarios sin privilegios modifiquen una propiedad tan crítica como es un UPN.
Esto ha dejado a los administradores de TI perplejos y preocupados ante un mal uso.
Siempre se recomienda a las organizaciones implementar controles para mitigar los riesgos.
En este caso la mejor opción sería bloquear el acceso de los usuarios que no lo requieran al centro de administración de Entra ID como también el acceso a Microsoft Graph PowerShell SDK.
