Что знают исследователи безопасности о Microsoft Entra, чего не знаете вы

В этом выпуске я беседую с исследователем безопасности Кэти Ноулз, чтобы разобраться в скрытых уровнях систем идентификации в Microsoft Entra. Мы рассмотрим реальные пути атак, такие как бэкдоры для принципалов-служб, ограниченные административные единицы, которые могут случайно создавать неблокируемые учетные записи, и фишинг OAuth в Copilot Studio.

Кэти также рассказывает о своем подходе к глубоким техническим исследованиям, о том, что часто упускают из виду специалисты по безопасности, и о том, почему безопасность идентификации становится все сложнее. Это один из тех разговоров, после которого вы начинаете думать иначе.

О Кэти Ноулз

Кэти Ноулз — старший исследователь по безопасности в Datadog, специализирующийся на безопасности Microsoft Azure и Entra ID. Она обладает обширным опытом в области разработки безопасности, тестирования на проникновение и реагирования на инциденты. Кэти известна своими глубокими исследованиями, связывающими сложные технические уязвимости с практическими рекомендациями по защите. Она регулярно публикуется в Datadog Security Labs и выступает на крупных конференциях по безопасности.

LinkedIn —   / kaknowles  

🔗 Ссылки по теме

Публикации Кэти о безопасности в Datadog — https://securitylabs.datadoghq.com/ar...

Личный блог Кэти — https://kknowl.es

Выступления Кэти на конференции — https://kknowl.es/external-content/

Создание неизменяемых пользователей с помощью ошибки в ограниченных административных единицах Entra ID — https://securitylabs.datadoghq.com/ar...

I SPy: Эскалация до уровня глобального администратора Entra ID с помощью собственного приложения — https://securitylabs.datadoghq.com/ar...

CoPhish: Использование Microsoft Copilot Studio как оболочка для фишинга OAuth - https://securitylabs.datadoghq.com/ar...

📗 Главы

02:08 Ошибка бессмертного пользователя в ограниченных административных единицах
04:23 Влияние злоумышленника: неудаляемая вредоносная учётная запись
05:59 Взлом собственных приложений и обход AppLock
09:29 Как она нашла обход AppLock
11:16 День из жизни специалиста по безопасности
14:20 Фишинг с Copilot Studio и OAuth
17:00 Лучшие советы по управлению приложениями и безопасности
21:45 Скрытый риск политик доступа к Azure Key Vault
28:55 Объяснение регистраций приложений и принципалов-служб
41:48 Будущее: идентификаторы агентов и новое доверие Модель

Приложения для подкастов

🎙️ Entra.Chat - https://entra.chat
🎧 Apple Podcast → https://entra.chat/apple
📺 YouTube → https://entra.chat/youtube
📺 Spotify → https://entra.chat/spotify
🎧 Overcast → https://entra.chat/overcast
🎧 Pocketcast → https://entra.chat/pocketcast
🎧 Другие → https://entra.chat/rss

Соцсети Мерилл

📺 YouTube →    / @merillx  
👔 LinkedIn → linkedin.com/in/merill
🐤 Twitter → twitter.com/merill
🕺 TikTok → tiktok.com/@merillf
🦋 Bluesky → bsky.app/profile/merill.net
🐘 Mastodon → infosec.exchange/@merill
🧵 Threads → threads.net/@merillf
🤖 GitHub → github.com/merill