Microsoft Graph

¿Qué es?

Microsoft Graph es un servicio de Azure Cloud que proporciona acceso a los datos y las API de Microsoft 365 y Azure Active Directory. Permite a los desarrolladores construir aplicaciones que pueden interactuar con los datos y recursos de Microsoft 365, como calendarios, contactos, correo electrónico, archivos y más, y también proporciona acceso a la información de usuarios y grupos en Azure Active Directory.

Microsoft Graph es una API RESTful que puede ser utilizada en una variedad de plataformas y lenguajes de programación, incluyendo aplicaciones web, móviles y de escritorio. Los desarrolladores pueden utilizar Microsoft Graph para acceder a los datos de Microsoft 365 y Azure Active Directory y crear aplicaciones que se integren con otros servicios en la nube de Microsoft, como Azure Functions, Azure Logic Apps y Azure App Service.

¿Cómo atacarlo?

¿Que pasa cuando un desarrollados no conoce este tipo de tecnologías? dejará normalmente, credenciales por defecto. Al ser una API de Microsoft 365 permite a los atacantes obtener mucha información de una compañía, muchas veces dejando rastros mínimos o díficiles de rastrear por los administradores de nube.

Microsoft Graph requiere que se establezcan permisos desde Azure AD o un sistema similar a RBAC que pueda proporcionar los roles apropiados. Actualmente hay cuatro restricciones en el modelo de permisos de Microsoft Graph:

All: Se permiten todas las operaciones contra el servicio.
Shared: Permite ejecutar operaciones contra un servicio y permite acceder a operaciones contra cualquiera de los recursos compartidos para ese usuario. Por ejemplo, si otros usuarios han compartido eventos de calendario con ese usuario, también podrá leer esos calendarios.
AppFolder: Permite lectura y escritura sobre los archivos de OneDrive (Solo soportado si se tiene una cuenta de Microsoft).
NoConstraints: Sin restricciones, solo obtiene acceso a los datos y objetos del usuario que inició sesión.

Por ejemplo con modo lectura se puede leer lo siguiente, dependiendo de lo que el usuario tenga se pueden leer notas (donde pueda existir contraseñas escritas), calendarios, contactos.

Se puede acceder de dos formas, por la apli que ofrece Microsoft o por medio de un cliente tipo Postman

Referencias

AnteriorEncontrar Fuga de Datos SiguienteNotas

Última actualización hace 1 año

¿Qué es?

¿Cómo atacarlo?

All: Se permiten todas las operaciones contra el servicio.

Shared: Permite ejecutar operaciones contra un servicio y permite acceder a operaciones contra cualquiera de los recursos compartidos para ese usuario. Por ejemplo, si otros usuarios han compartido eventos de calendario con ese usuario, también podrá leer esos calendarios.

AppFolder: Permite lectura y escritura sobre los archivos de OneDrive (Solo soportado si se tiene una cuenta de Microsoft).

NoConstraints: Sin restricciones, solo obtiene acceso a los datos y objetos del usuario que inició sesión.

Por ejemplo con modo lectura se puede leer lo siguiente, dependiendo de lo que el usuario tenga se pueden leer notas (donde pueda existir contraseñas escritas), calendarios, contactos.

Se puede acceder de dos formas, por la apli que ofrece Microsoft o por medio de un cliente tipo Postman