Investigadores de seguridad de Compass Security han lanzado una advertencia a los administradores de sistemas: las políticas de Acceso Condicional de Microsoft Entra ID, cuando están mal diseñadas, están dejando identidades críticas desprotegidas durante las evaluaciones de seguridad en entornos reales.
En un reciente análisis técnico, el investigador Christian Feuchter identificó diversos errores de configuración recurrentes que permiten eludir controles de seguridad esenciales, tales como la autenticación multifactor (MFA) y las restricciones de dispositivos.
Muchas organizaciones intentan proteger cuentas de alto valor enfocándose en grupos de usuarios específicos. No obstante, Feuchter descubrió que los administradores suelen omitir a usuarios relevantes en estos grupos, lo que deja a una parte de la plantilla totalmente fuera del alcance de las políticas de seguridad.
Brechas en la segmentación y puntos ciegos en la configuración
Vulnerabilidades similares aparecen cuando los administradores aplican políticas a roles específicos de Entra ID. La investigación destaca que los roles con privilegios suelen quedar fuera de las políticas de protección, especialmente cuando dichos roles están limitados a Unidades Administrativas específicas.
Feuchter señaló una limitación específica de Microsoft: la segmentación de roles en el Acceso Condicional no reconoce las asignaciones de roles con alcance limitado. Esto implica que un usuario con el rol de 'Administrador de Usuarios' restringido a una unidad específica podría eludir las políticas diseñadas para proteger a todos los administradores.
También surgen brechas de seguridad cuando las políticas se centran de forma demasiado estrecha en recursos específicos. Por ejemplo, exigir una MFA resistente al phishing únicamente para los portales de administración de Microsoft podría no ser suficiente para proteger a los administradores que realizan acciones sensibles a través de la API de Microsoft Graph.
La excesiva complejidad en las políticas también puede debilitar la postura de seguridad. Dado que Entra ID no utiliza un modelo de 'denegación por defecto', añadir condiciones excesivas —como ubicaciones de red o plataformas de dispositivos específicas— reduce, en la práctica, la cantidad de eventos de autenticación que la política logra cubrir.
Cada condición adicional que se añade a una política reduce su alcance, lo que podría permitir accesos no autorizados si un inicio de sesión no activa los criterios específicos y altamente limitados establecidos.
