Seit einiger Zeit nutzen Angreifer die Schnittstelle zwischen M365 Partner (CSP) und Kunden aktiv aus, um so in einen M365 Kundentenant zu gelangen.
Das wird dadurch ermöglicht, dass man einem M365 Partner Zugriff in seinen Tenant gewährt hat, um von diesem z.B. mit Microsoft Lizenzen versorgt zu werden, dabei aber auch dem Partner Global Administrator, Helpdesk Administrator oder andere administrative Rollen erteilt haben.
Der externe Partner kann somit, abseits von im Tenant eingestellten Conditional Access Policies (z.B. um MFA zu erzwingen), im Kundentenant globale Änderungen vornehmen, z.B. Accounts anlegen, Permissions ändern, E-Mails lesen usw. – ohne, dass diese vom Azure AD Audit Log erfasst werden.
Microsoft hat diese Schwachstelle letztes Jahr im Zuge von NOBELIUM erkannt (https://www.microsoft.com/security/blog/2021/10/25/nobelium-targeting-delegated-administrative-privileges-to-facilitate-broader-attacks/).
Prüfen der Partnerbeziehungen
Im M365 Admin Center (https://admin.microsoft.com) > Show all > Settings > Partner relationships
Hier kann man sehen, dass es zwei Partner („Reseller“) im Tenant gibt, denen sowohl die Global Administrator als auch Heldesk Adminrolle zugewiesen ist.
Generell kann man sagen, dass die Rollen entfernt werden können, denn
- wenn der Partner nur Lizenzen im Tenant bereitstellt, braucht dieser kein Global Admin oder Helpdesk Admin zu sein,
- falls der Partner Global Admin sein muss, dann ist es besser und sicherer für jede Person, welche eine AAD Rolle benötigt, einen separaten Account im Tenant anzulegen – und diesen dann mit Conditional Access Policies weiter abzusichern.
Nach Klick auf den jeweiligen Partner können die Rollen entfernt werden:
Mit den oben beschriebenen Schritten schränkt man den Zugriff des Partners im M365 Tenant ein. Der Partner hat jedoch immer noch eingeschränkten Zugriff über das Microsoft Partner Center und kann weiterhin Lizenzen zuordnen und Tickets für den Tenant öffnen.
Um die Verbindung zwischen dem CSP und dem M365 Tenant komplett zu entfernen, muss der CSP dies im Partner Center aktiv entfernen. Hierzu muss der Kunde den Partner kontaktieren. Falls der Partner nicht reagiert oder nicht weiß, wie die Verbindung gekappt werden kann, kann man dies auch über ein Ticket mit Microsoft lösen.
Mehr Informationen zum Thema M365 Partnerrollen und wie diese entfernt werden, findet man unter https://docs.microsoft.com/de-de/microsoft-365/commerce/manage-partners?view=o365-worldwide#remove-partner-admin-roles