Conditional Access ist eine der wichtigsten Sicherheitsmaßnahmen in Microsoft-Umgebungen, da es Unternehmen ermöglicht, den Zugriff auf sensible Daten gezielt zu steuern. Indem sichergestellt wird, dass nur Geräte mit den erforderlichen Sicherheitsstandards zugelassen werden, bietet Conditional Access eine zusätzliche Schutzebene gegen Angriffe und Datenverluste.
Eine jetzt bekannt gewordene Lücke ermöglicht es jedoch, diese Sicherheitsrichtlinien unter bestimmten Umständen zu umgehen. Geräte, die eigentlich als nicht konform eingestuft werden sollten, können dennoch unberechtigt Zugriff auf geschützte Ressourcen erlangen.
In diesem Blogbeitrag erläutere ich das Fehlerbild, zeige auf, wie die Schwachstelle nachgestellt werden kann und gebe Empfehlungen zur Absicherung Ihrer Systeme.
Die Sicherheitslücke betrifft die Conditional-Access-Richtlinien, die in Microsoft Entra ID (ehemals Azure AD) implementiert sind. Der Kern des Problems liegt in der fehlerhaften Implementierung der Intune Company Portal App, die normalerweise als Schnittstelle zur Überprüfung der Gerätekonformität dient.
Dabei zeigt sich das folgende Fehlerbild:
In der Praxis bedeutet dies, dass ein Angreifer oder ein nicht autorisierter Benutzer über ein Gerät, das nicht den Konformitätsstandards entspricht, Zugriff auf geschützte Ressourcen wie E-Mails, Dateien oder andere Unternehmensdaten erhalten kann.
Das Problem kann reproduziert werden, indem folgende Schritte durchgeführt werden:
Öffnen Sie die folgende URL in einem Browser auf einem nicht konformen Gerät:
Nutzen Sie das Tool TokenSmith oder extrahieren Sie die Entra ID Tokens manuell, wie im Beitrag von JUMPSEC LABS beschrieben.
Durch diese Vorgehensweise wird deutlich, wie die Tokens, die für die Intune Company Portal App generiert wurden, für andere Microsoft Apps verwendet werden können – ein klarer Verstoß gegen die vorgesehenen Sicherheitsrichtlinien.
Die Schwachstelle stellt ein erhebliches Risiko für die IT-Sicherheit und die Einhaltung von Compliance-Vorgaben dar, da sie eine der Kernmechanismen von Conditional Access untergräbt: Die Einschränkung des Zugriffs auf Unternehmensressourcen von Geräten, die nicht den geforderten Sicherheitsstandards entsprechen.
In der Praxis wird der Compliance-Status eines Geräts häufig genutzt, um die Zugriffsmöglichkeiten granular zu steuern:
Konforme Geräte: Diese Geräte erfüllen die Sicherheitsanforderungen des Unternehmens, z. B. aktuelle Updates, aktive Verschlüsselung oder bestimmte Konfigurationen. Sie erhalten in der Regel uneingeschränkten Zugriff auf Unternehmensressourcen wie E-Mails, Dateien und interne Anwendungen.
Nicht-konforme Geräte: Geräte, die den Anforderungen nicht entsprechen, werden häufig eingeschränkt, z. B. auf Lesezugriff oder komplett vom Zugriff ausgeschlossen.
Die aktuelle Schwachstelle erlaubt es jedoch, den Status „konform“ zu umgehen und Zugriff auf Unternehmensressourcen zu erhalten, selbst wenn das Gerät die Sicherheitsanforderungen nicht erfüllt. Dies birgt kritische Gefahren:
Sicherheitsrisiken durch ungeschützte Geräte:
Nicht-konforme Geräte können Sicherheitslücken aufweisen, wie veraltete Betriebssysteme oder fehlende Sicherheitsupdates. Wenn diese Geräte Zugriff auf Unternehmensdaten erhalten, steigt das Risiko, dass Malware oder unbefugte Dritte diese Daten kompromittieren.
Einhaltung von Datenschutz- und Compliance-Anforderungen:
In vielen Branchen sind Unternehmen gesetzlich verpflichtet, den Zugriff auf personenbezogene oder vertrauliche Daten zu kontrollieren. Ein Verstoß gegen diese Vorgaben – etwa durch unautorisierten Zugriff – kann hohe Bußgelder nach sich ziehen, beispielsweise gemäß der EU-DSGVO.
Wir empfehlen Organisationen, die stark auf Conditional Access und Intune setzen, unverzüglich Maßnahmen zu ergreifen, um ihre Umgebung abzusichern und die Auswirkungen dieser Schwachstelle zu minimieren.
Die Schwachstelle in den Conditional Access Richtlinien birgt das Potenzial, erhebliche Schäden für Unternehmen zu verursachen – sowohl auf technischer als auch auf organisatorischer Ebene:
Datenverlust und -exfiltration:
Ein unautorisierter Zugriff auf vertrauliche Daten kann zu deren unkontrollierter Verbreitung oder Diebstahl führen. Dies betrifft nicht nur Geschäftsinformationen, sondern auch personenbezogene Daten von Kunden und Mitarbeitenden.
Produktivitätsverlust:
Ein Sicherheitsvorfall, der durch diese Schwachstelle ausgelöst wird, könnte zu zeitaufwändigen Untersuchungen, Systemwiederherstellungen und potenziellen Service-Ausfällen führen, die die gesamte Organisation betreffen.
Um die Auswirkungen der Schwachstelle zu minimieren und Ihre Umgebung bestmöglich abzusichern, empfehlen wir eine Reihe von Maßnahmen, die sowohl kurzfristige Abhilfe schaffen als auch langfristig die Sicherheit Ihrer IT-Infrastruktur stärken können.
Absicherung der Intune Company Portal App
Die Intune Company Portal App steht im Zentrum der Schwachstelle. Es ist essenziell, diese App durch eine zusätzliche Sicherheitsstufe zu schützen:
Multi-Faktor-Authentifizierung (MFA): Aktivieren Sie zwingend MFA für die Intune Company Portal App, um sicherzustellen, dass auch bei einem möglichen Token-Missbrauch zusätzliche Authentifizierungsmaßnahmen greifen.
Zugriffsprotokolle aktivieren: Überwachen Sie Anmeldeversuche und die Verwendung von Tokens aus dieser App, um auffällige Aktivitäten frühzeitig zu erkennen.
Implementierung zusätzlicher Sicherheitskontrollen
Ergänzende Maßnahmen können dazu beitragen, potenzielle Angriffe einzudämmen oder zu erschweren:
IP-Adressbeschränkungen: Begrenzen Sie den Zugriff auf die Intune Company Portal App und andere kritische Ressourcen auf vertrauenswürdige IP-Bereiche. Dies verhindert Zugriffe von unautorisierten oder ungewöhnlichen Standorten.
Phishing-resistente MFA: Nutzen Sie moderne Authentifizierungsmethoden wie FIDO2-Sicherheitsschlüssel, die schwerer zu kompromittieren sind als herkömmliche MFA-Verfahren.
Erweitertes Monitoring: Implementieren Sie ein detailliertes Monitoring der Token-Verwendung und ungewöhnlicher Anmeldeaktivitäten, um potenzielle Angriffe frühzeitig zu identifizieren und zu stoppen.
Überprüfung und Anpassung der Conditional-Access-Richtlinien
Stellen Sie sicher, dass Ihre Richtlinien auf dem neuesten Stand sind und berücksichtigen Sie mögliche Umgehungsmöglichkeiten:
Ergänzen Sie Richtlinien, die den Zugriff auf besonders kritische Ressourcen zusätzlich absichern, etwa durch device-specific Zertifikate oder weitere Authentifizierungsstufen.
Risikoabschätzung und Datenschutz
Bewerten Sie, ob die Schwachstelle in Ihrer Umgebung möglicherweise bereits ausgenutzt wurde. Sollten personenbezogene Daten kompromittiert worden sein, sind unter Umständen folgende Schritte erforderlich:
Dokumentation: Halten Sie alle Maßnahmen und Analysen umfassend schriftlich fest, um im Falle einer Prüfung durch Behörden nachweisen zu können, dass Sie angemessen reagiert haben.
Die Schwachstelle in den Conditional-Access-Richtlinien von Microsoft Entra ID zeigt, wie wichtig es ist, Sicherheitsmechanismen regelmäßig zu überprüfen und Schwachstellen frühzeitig zu beheben. Unternehmen, die stark auf Microsoft-Technologien und Intune setzen, sollten die beschriebenen Maßnahmen dringend umsetzen, um Risiken zu minimieren und die Sicherheit ihrer IT-Infrastruktur zu gewährleisten.
Besonders in Umgebungen, in denen der Schutz sensibler Daten und die Einhaltung strenger Compliance-Vorgaben entscheidend sind, darf dieses Problem nicht unterschätzt werden. Ein proaktives Vorgehen kann nicht nur potenzielle Sicherheitsvorfälle verhindern, sondern auch den Schutz der Unternehmensdaten und das Vertrauen von Kunden und Partnern sichern.
Wenn Sie Unterstützung bei der Umsetzung der empfohlenen Maßnahmen oder weitere Informationen zur Behebung der Schwachstelle benötigen, stehen wir Ihnen gerne zur Seite.
Ihr persönlicher Ansprechpartner
Bei welchem Projekt oder welcher Herausforderung dürfen wir Sie unterstützen? Wir sind gerne für Sie da.
MICHAEL WILDGRUBER | Team Lead Digital Workplace – Cloud Productivity
Wollen Sie immer up2date sein? Dann melden Sie sich jetzt zu unserem Newsletter an
Bleiben Sie auf dem Laufenden. Wir informieren Sie regelmäßig über aktuelle Trends und technologische Neuerungen sowie geplante Webinare und Events. Sie erhalten Einblick in interessante Kundenprojekte und werfen einen Blick hinter die Kulissen. Melden Sie sich jetzt an.