Valkohattuhakkerin Microsoft 365 tietoturvavinkkejä. Osa 1: Vierailijat

Johdanto

Päivätyöni Tampereen kehyskuntien tietohallintojohtajana on antanut hyvän näkyvyyden kuntien yleiseen toimintaa, tietohallintoon ja tietoturvaan. Vapaa-ajallani toimin tietoturvatutkijana, keskittyen Microsoftin pilvipalveluiden tietoturvaan. Tämä ”kädet savessa” tyyppinen harrastus on tuonut itselle hyvää tasapainoa päivätyön hieman hallinnollisempaan arkeen. Melkoinen osuus vapaa-ajasta onkin kulunut AADInternals työkalun parissa, sekä löydösteni esittämisessä konferensseissa ympäri maailmaa. Mieleenpainuvimpana näistä Las Vegasissa vuosittain järjestettävä BlackHat tapahtuma viime vuoden elokuulta.

Jaan tässä artikkelisarjassa oppimiani ja löytämiäni tietoturvaan liittyviä ongelmakohtia, sekä vinkkejä niiltä suojautumiseen. Vaikka näkökulmana on pääosin julkishallinto, toimivat vinkit kaikentyyppisissä ja -kokoisissa organisaatioissa.

Vierailijat

Microsoft 365 ja Office 365 palvelut hyödyntävät tunnistautumisessa Azure Active Directorya (AAD). Jokainen organisaation käyttäjä on oman organisaationsa AAD:n jäsen. Jäsenten lisäksi, AAD:sta löytyy organisaation ulkopuolisia käyttäjiä, joita kutsutaan vierailijoiksi. Oletuksena vierailijoiden oikeudet ovat rajatumpia kuin jäsenten. Vierailijoilla ei esimerkiksi ole oikeutta listata organisaation AAD:en sisältöä.

Ehkä tyypillisin paikka missä vierailijatunnuksiin törmätään on Teams. Aina kun Teamsiin kutsutaan organisaation ulkopuolinen henkilö, muodostuu käyttäjälle vierailijatunnus. Samalla siis annetaan , usein tiedostamatta, ulkopuoliselle käyttäjälle (rajoitettu) pääsy organisaation AAD:en tietoihin.

Tietoturvaongelma

Vierailijat voivat käytännössä listata kaikki organisaation käyttäjät ja ryhmät

Kesällä julkaisemassani blogissa esittelin kuinka vierailijat voivat käytännössä listata kaikki organisaation AAD:n käyttäjät ja ryhmät. Vaikka varsinainen tietojen listaaminen onkin estetty, vierailijat näkevät annetun käyttäjän ryhmät, sekä annetun ryhmän jäsenet. Näin vierailija pystyy rajoituksista huolimatta käymään läpi organisaation käyttäjät ja ryhmät, kunhan tietää edes yhden organisaation jäsenen tai vierailijan sähköpostiosoitteen.

Tyypillisesti AAD:ssa on omat ryhmänsä kaikille organisaatioiden jäsenille ja vierailijoille. Näiden ryhmien avulla nähdään helposti organisaation kaikki käyttäjät ja vierailijatunnukset. Erityisesti vierailijatunnusten paljastuminen on ongelmallista, koska se saattaa paljastaa organisaation asiakkaiden ja kumppaneiden tietoja. Esimerkiksi yksityinen Teams ryhmä nimeltään ”Yrityskauppa” ja sen jäsenten listaaminen paljastaa pahimmillaan sisäpiiritietoa organisaatioiden ulkopuolisille.

Suojautuminen

Suojautuminen on onneksi helppoa, eikä se vaadi mitään lisähankintoja. Microsoft julkaisi alkusyksystä uuden ominaisuuden, jolla vierailijoiden oikeuksia AAD:ssa voidaan rajata. Oletuksena valittuna on keskimmäinen vaihtoehto, joka siis sallii pääsyn AAD:n tietoihin rajatusti ja sallii siis edellä mainitun. Alin vaihtoehto on kaikista rajaavin ja estää täysin edellä kuvatun pääsyn organisaation tietoihin.

Oikeuksien rajaamisella ei ole tunnettuja haittavaikutuksia normaaliin käyttöön organisaatioiden jäsenille. Vierailijoille muutos saattaa aiheuttaa ongelmia Forms, Planner, Project ja Yammer tuotteiden kanssa.

Vaikka ominaisuus onkin vasta ”Preview” vaiheessa, suosittelen voimakkaasti tämän ottamista käyttöön VÄLITTÖMÄSTI kaikissa organisaatioissa!

Lopuksi

Kerroin tässä artikkelissa vierailijakäyttäjiin liittyvästä tietoturvaongelmasta ja siltä suojautumisesta. Muistutan kuitenkin, että organisaatioiden jäsenillä on edelleen pääsy kaikkeen AAD:n sisältämään tietoon, eikä näitä oikeuksia voi käytännössä rajata.