Januar 2025
Autor des Beitrags
Julian
Senior Consultant
LinkedIn
Veröffentlicht am
13.01.2025 von Julian
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
Schwachstelle in Conditional-Access-Richtlinien

Intune Enterprise App erlaubt Compliant Device Bypass

Conditional Access ist eine der wichtigsten Sicherheitsmaßnahmen in Microsoft-Umgebungen, da es Unternehmen ermöglicht, den Zugriff auf sensible Daten gezielt zu steuern. Indem sichergestellt wird, dass nur Geräte mit den erforderlichen Sicherheitsstandards zugelassen werden, bietet Conditional Access eine zusätzliche Schutzebene gegen Angriffe und Datenverluste.

Eine jetzt bekannt gewordene Lücke ermöglicht es jedoch, diese Sicherheitsrichtlinien unter bestimmten Umständen zu umgehen. Geräte, die eigentlich als nicht konform eingestuft werden sollten, können dennoch unberechtigt Zugriff auf geschützte Ressourcen erlangen.

In diesem Blogbeitrag erläutere ich das Fehlerbild, zeige auf, wie die Schwachstelle nachgestellt werden kann und gebe Empfehlungen zur Absicherung Ihrer Systeme.

Schwachstelle in Conditional Access: Risiken für Compliance und Sicherheit

Die Sicherheitslücke betrifft die Conditional-Access-Richtlinien, die in Microsoft Entra ID (ehemals Azure AD) implementiert sind. Der Kern des Problems liegt in der fehlerhaften Implementierung der Intune Company Portal App, die normalerweise als Schnittstelle zur Überprüfung der Gerätekonformität dient.

Dabei zeigt sich das folgende Fehlerbild:

  • Beim Zugriff auf Unternehmensressourcen über ein Gerät, das nicht als konform gilt, kann dennoch ein Zugangstoken ausgestellt werden.
  • Dieser Token wird mit Hilfe der Schnittstelle für die Intune Company Portal App generiert, der eigentlich nur innerhalb der App gültig sein sollte.
  • Aufgrund der Schwachstelle können diese Tokens auch für andere Microsoft-Anwendungen verwendet werden, wodurch die Sicherheitskontrollen von Conditional Access effektiv ausgehebelt werden.

In der Praxis bedeutet dies, dass ein Angreifer oder ein nicht autorisierter Benutzer über ein Gerät, das nicht den Konformitätsstandards entspricht, Zugriff auf geschützte Ressourcen wie E-Mails, Dateien oder andere Unternehmensdaten erhalten kann.

Wie lässt sich das Problem nachstellen?

Das Problem kann reproduziert werden, indem folgende Schritte durchgeführt werden:

  1. Öffnen Sie die folgende URL in einem Browser auf einem nicht konformen Gerät:

https://login.microsoftonline.com/common/oauth2/v2.0/authorize?client_id=9ba1a5c7-f17a-4de9-a1f1-6178c8d51223&scope=openid+offline_access+https%3A%2F%2Fgraph.microsoft.com%2F.default&response_type=code&redirect_uri=ms-appx-web://Microsoft.AAD.BrokerPlugin/S-1-15-2-2666988183-1750391847-2906264630-3525785777-2857982319-3063633125-1907478113

  1. Nutzen Sie das Tool TokenSmith oder extrahieren Sie die Entra ID Tokens manuell, wie im Beitrag von JUMPSEC LABS beschrieben.

Durch diese Vorgehensweise wird deutlich, wie die Tokens, die für die Intune Company Portal App generiert wurden, für andere Microsoft Apps verwendet werden können – ein klarer Verstoß gegen die vorgesehenen Sicherheitsrichtlinien.

Warum die Schwachstelle ein erhebliches Sicherheits- und Compliance-Risiko darstellt

Die Schwachstelle stellt ein erhebliches Risiko für die IT-Sicherheit und die Einhaltung von Compliance-Vorgaben dar, da sie eine der Kernmechanismen von Conditional Access untergräbt: Die Einschränkung des Zugriffs auf Unternehmensressourcen von Geräten, die nicht den geforderten Sicherheitsstandards entsprechen.

In der Praxis wird der Compliance-Status eines Geräts häufig genutzt, um die Zugriffsmöglichkeiten granular zu steuern:

  • Konforme Geräte: Diese Geräte erfüllen die Sicherheitsanforderungen des Unternehmens, z. B. aktuelle Updates, aktive Verschlüsselung oder bestimmte Konfigurationen. Sie erhalten in der Regel uneingeschränkten Zugriff auf Unternehmensressourcen wie E-Mails, Dateien und interne Anwendungen.

  • Nicht-konforme Geräte: Geräte, die den Anforderungen nicht entsprechen, werden häufig eingeschränkt, z. B. auf Lesezugriff oder komplett vom Zugriff ausgeschlossen.

Die aktuelle Schwachstelle erlaubt es jedoch, den Status „konform“ zu umgehen und Zugriff auf Unternehmensressourcen zu erhalten, selbst wenn das Gerät die Sicherheitsanforderungen nicht erfüllt. Dies birgt kritische Gefahren:

  1. Sicherheitsrisiken durch ungeschützte Geräte:
    Nicht-konforme Geräte können Sicherheitslücken aufweisen, wie veraltete Betriebssysteme oder fehlende Sicherheitsupdates. Wenn diese Geräte Zugriff auf Unternehmensdaten erhalten, steigt das Risiko, dass Malware oder unbefugte Dritte diese Daten kompromittieren.

  2. Einhaltung von Datenschutz- und Compliance-Anforderungen:
    In vielen Branchen sind Unternehmen gesetzlich verpflichtet, den Zugriff auf personenbezogene oder vertrauliche Daten zu kontrollieren. Ein Verstoß gegen diese Vorgaben – etwa durch unautorisierten Zugriff – kann hohe Bußgelder nach sich ziehen, beispielsweise gemäß der EU-DSGVO.

Wir empfehlen Organisationen, die stark auf Conditional Access und Intune setzen, unverzüglich Maßnahmen zu ergreifen, um ihre Umgebung abzusichern und die Auswirkungen dieser Schwachstelle zu minimieren.

Potentielle Auswirkungen: Was die Schwachstelle für Unternehmen bedeutet

Die Schwachstelle in den Conditional Access Richtlinien birgt das Potenzial, erhebliche Schäden für Unternehmen zu verursachen – sowohl auf technischer als auch auf organisatorischer Ebene:

  1. Datenverlust und -exfiltration:
    Ein unautorisierter Zugriff auf vertrauliche Daten kann zu deren unkontrollierter Verbreitung oder Diebstahl führen. Dies betrifft nicht nur Geschäftsinformationen, sondern auch personenbezogene Daten von Kunden und Mitarbeitenden.

  2. Produktivitätsverlust:
    Ein Sicherheitsvorfall, der durch diese Schwachstelle ausgelöst wird, könnte zu zeitaufwändigen Untersuchungen, Systemwiederherstellungen und potenziellen Service-Ausfällen führen, die die gesamte Organisation betreffen.

Empfohlene Maßnahmen zur Schwachstellenbehebung

Um die Auswirkungen der Schwachstelle zu minimieren und Ihre Umgebung bestmöglich abzusichern, empfehlen wir eine Reihe von Maßnahmen, die sowohl kurzfristige Abhilfe schaffen als auch langfristig die Sicherheit Ihrer IT-Infrastruktur stärken können.

  1. Absicherung der Intune Company Portal App

    Die Intune Company Portal App steht im Zentrum der Schwachstelle. Es ist essenziell, diese App durch eine zusätzliche Sicherheitsstufe zu schützen:

    • Multi-Faktor-Authentifizierung (MFA): Aktivieren Sie zwingend MFA für die Intune Company Portal App, um sicherzustellen, dass auch bei einem möglichen Token-Missbrauch zusätzliche Authentifizierungsmaßnahmen greifen.

    • Zugriffsprotokolle aktivieren: Überwachen Sie Anmeldeversuche und die Verwendung von Tokens aus dieser App, um auffällige Aktivitäten frühzeitig zu erkennen.

  1. Implementierung zusätzlicher Sicherheitskontrollen

    Ergänzende Maßnahmen können dazu beitragen, potenzielle Angriffe einzudämmen oder zu erschweren:

    • IP-Adressbeschränkungen: Begrenzen Sie den Zugriff auf die Intune Company Portal App und andere kritische Ressourcen auf vertrauenswürdige IP-Bereiche. Dies verhindert Zugriffe von unautorisierten oder ungewöhnlichen Standorten.

    • Phishing-resistente MFA: Nutzen Sie moderne Authentifizierungsmethoden wie FIDO2-Sicherheitsschlüssel, die schwerer zu kompromittieren sind als herkömmliche MFA-Verfahren.

    • Erweitertes Monitoring: Implementieren Sie ein detailliertes Monitoring der Token-Verwendung und ungewöhnlicher Anmeldeaktivitäten, um potenzielle Angriffe frühzeitig zu identifizieren und zu stoppen.

  1. Überprüfung und Anpassung der Conditional-Access-Richtlinien

    Stellen Sie sicher, dass Ihre Richtlinien auf dem neuesten Stand sind und berücksichtigen Sie mögliche Umgehungsmöglichkeiten:

    • Ergänzen Sie Richtlinien, die den Zugriff auf besonders kritische Ressourcen zusätzlich absichern, etwa durch device-specific Zertifikate oder weitere Authentifizierungsstufen.

  1. Risikoabschätzung und Datenschutz

    Bewerten Sie, ob die Schwachstelle in Ihrer Umgebung möglicherweise bereits ausgenutzt wurde. Sollten personenbezogene Daten kompromittiert worden sein, sind unter Umständen folgende Schritte erforderlich:

    • Dokumentation: Halten Sie alle Maßnahmen und Analysen umfassend schriftlich fest, um im Falle einer Prüfung durch Behörden nachweisen zu können, dass Sie angemessen reagiert haben.

Fazit: Handeln Sie jetzt, um Ihre Sicherheit zu gewährleisten

Die Schwachstelle in den Conditional-Access-Richtlinien von Microsoft Entra ID zeigt, wie wichtig es ist, Sicherheitsmechanismen regelmäßig zu überprüfen und Schwachstellen frühzeitig zu beheben. Unternehmen, die stark auf Microsoft-Technologien und Intune setzen, sollten die beschriebenen Maßnahmen dringend umsetzen, um Risiken zu minimieren und die Sicherheit ihrer IT-Infrastruktur zu gewährleisten.

Besonders in Umgebungen, in denen der Schutz sensibler Daten und die Einhaltung strenger Compliance-Vorgaben entscheidend sind, darf dieses Problem nicht unterschätzt werden. Ein proaktives Vorgehen kann nicht nur potenzielle Sicherheitsvorfälle verhindern, sondern auch den Schutz der Unternehmensdaten und das Vertrauen von Kunden und Partnern sichern.

Wenn Sie Unterstützung bei der Umsetzung der empfohlenen Maßnahmen oder weitere Informationen zur Behebung der Schwachstelle benötigen, stehen wir Ihnen gerne zur Seite.

Kontakt

Ihr persönlicher Ansprechpartner

Bei welchem Projekt oder welcher Herausforderung dürfen wir Sie unterstützen? Wir sind gerne für Sie da.

MICHAEL WILDGRUBER | Team Lead Digital Workplace – Cloud Productivity

+49 89  71040920

michael@provectus.de

 

Zum Kontaktformular

Wollen Sie immer up2date sein? Dann melden Sie sich jetzt zu unserem Newsletter an

Bleiben Sie auf dem Laufenden. Wir informieren Sie regelmäßig über aktuelle Trends und technologische Neuerungen sowie geplante Webinare und Events. Sie erhalten Einblick in interessante Kundenprojekte und werfen einen Blick hinter die Kulissen. Melden Sie sich jetzt an.

Zur Newsletter Anmeldung 

News & Updates

alles Wichtige auf einen Blick
Zum Infohub
Blogbeitrag

STUDIE zur Microsoft 365 Sicherheit 2025: Unternehmen müssen ihre Strategie umdenken 

Die Studie „State of Microsoft 365 Security 2025“ zeigt: Unternehmen unterschätzen ihre Sicherheitsrisiken. Fehlkonfigurationen, fehlende MFA und fehlende Backups machen M365 zur Gefahr. Erfahren Sie, wie Zero Trust, Evergreen und Backup-Strategien Ihre Umgebung wirklich schützen.
Weiterlesen
Blogbeitrag

Microsoft neue hybride Bereitstellungsoptionen für Azure Virtual Desktop auf Ignite 2025

Die neue Option erlaubt es, VM´s als Arc-enabled Servers zu registrieren und als Session-Hosts für Azure Virtual Desktop zu nutzen.
Weiterlesen
Webinar

Webinar am 12.12.: Unternehmens-KI ohne Medienbruch – Wissen sicher und zentral in Microsoft Teams nutzen 

Erfahren Sie im Webinar, wie Sie KI sicher in Microsoft Teams integrieren, Unternehmenswissen zentral bündeln, Medienbrüche vermeiden und eine leistungsfähige Azure-Infrastruktur für moderne KI-Lösungen aufbauen.
Weiterlesen
Webinar

Webinar am 10.12. – Zero Trust: Seit Jahren auf der Agenda, aber nie im Budget

Erfahren Sie im Webinar, warum Zero Trust jetzt höchste Priorität hat. KI erhöht die Risiken, fehlende Sicherheitsarchitektur bremst. So entwickeln Unternehmen ihre Zero-Trust-Strategie weiter.
Weiterlesen
Blogbeitrag

Microsoft Teams erkennt den Bürostandort

Was bedeutet das neue Feature rechtlich? Die Antwort darauf beleuchten wir im Interview mit Wilfried Reiners, Anwalt Für IT-Recht.
Weiterlesen
Webinar

Webinar: Strategiewechsel im VDI-Segment? Citrix & Microsoft im Vergleich

Dieses Kostenlose Webinar richtet sich an IT-Entscheider & App-Virtualisierungs-Verantwortliche, die vor der Entscheidung stehen, ob ein Wechsel zu Microsoft AVD oder Windows 365 sinnvoll ist.
Weiterlesen
Blogbeitrag

Microsoft M365-Kit im Praxistest

Das M365-Kit bietet strukturierte Vorlagen für Datenschutz-Dokumentation, bleibt jedoch stark Microsoft-zentriert und erfordert eigene Prüfungen zu Themen wie Telemetriedaten, Löschfristen und Drittlandtransfers.
Weiterlesen
Echt Ich

Echt Ich Nima

In ECHT ICH erfahrt ihr mehr über Nima, seinen Arbeitsalltag, seine Hobbys und warum er bei Provectus „ECHT ER“ sein kann.
Weiterlesen
Blogbeitrag

deviceTRUST in der Praxis – Kontextbasierte Steuerung der Citrix-Zwischenablage

Erfahren Sie, wie Sie mit deviceTRUST die Citrix-Zwischenablage kontextbasiert steuern und so Datenübertragungen zwischen lokalen Systemen und virtuellen Sitzungen sicher und flexibel gestaltest.
Weiterlesen
Blogbeitrag

IT Leaders in Finance 2026 – Cybervorfall

LIVE TALKS • REAL CYBER INCIDENT • REAL SOLUTIONS Das Event für IT-Entscheider in Finance. Jetzt einen Platz sichern!
Weiterlesen
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
©provectus 2024