Januar 2025
Autor des Beitrags
Julian
Senior Consultant
Veröffentlicht am
13.01.2025 von Julian
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter
Schwachstelle in Conditional-Access-Richtlinien

Intune Enterprise App erlaubt Compliant Device Bypass

Conditional Access ist eine der wichtigsten Sicherheitsmaßnahmen in Microsoft-Umgebungen, da es Unternehmen ermöglicht, den Zugriff auf sensible Daten gezielt zu steuern. Indem sichergestellt wird, dass nur Geräte mit den erforderlichen Sicherheitsstandards zugelassen werden, bietet Conditional Access eine zusätzliche Schutzebene gegen Angriffe und Datenverluste.

Eine jetzt bekannt gewordene Lücke ermöglicht es jedoch, diese Sicherheitsrichtlinien unter bestimmten Umständen zu umgehen. Geräte, die eigentlich als nicht konform eingestuft werden sollten, können dennoch unberechtigt Zugriff auf geschützte Ressourcen erlangen.

In diesem Blogbeitrag erläutere ich das Fehlerbild, zeige auf, wie die Schwachstelle nachgestellt werden kann und gebe Empfehlungen zur Absicherung Ihrer Systeme.

Schwachstelle in Conditional Access: Risiken für Compliance und Sicherheit

Die Sicherheitslücke betrifft die Conditional-Access-Richtlinien, die in Microsoft Entra ID (ehemals Azure AD) implementiert sind. Der Kern des Problems liegt in der fehlerhaften Implementierung der Intune Company Portal App, die normalerweise als Schnittstelle zur Überprüfung der Gerätekonformität dient.

Dabei zeigt sich das folgende Fehlerbild:

  • Beim Zugriff auf Unternehmensressourcen über ein Gerät, das nicht als konform gilt, kann dennoch ein Zugangstoken ausgestellt werden.
  • Dieser Token wird mit Hilfe der Schnittstelle für die Intune Company Portal App generiert, der eigentlich nur innerhalb der App gültig sein sollte.
  • Aufgrund der Schwachstelle können diese Tokens auch für andere Microsoft-Anwendungen verwendet werden, wodurch die Sicherheitskontrollen von Conditional Access effektiv ausgehebelt werden.

In der Praxis bedeutet dies, dass ein Angreifer oder ein nicht autorisierter Benutzer über ein Gerät, das nicht den Konformitätsstandards entspricht, Zugriff auf geschützte Ressourcen wie E-Mails, Dateien oder andere Unternehmensdaten erhalten kann.

Wie lässt sich das Problem nachstellen?

Das Problem kann reproduziert werden, indem folgende Schritte durchgeführt werden:

  1. Öffnen Sie die folgende URL in einem Browser auf einem nicht konformen Gerät:

https://login.microsoftonline.com/common/oauth2/v2.0/authorize?client_id=9ba1a5c7-f17a-4de9-a1f1-6178c8d51223&scope=openid+offline_access+https%3A%2F%2Fgraph.microsoft.com%2F.default&response_type=code&redirect_uri=ms-appx-web://Microsoft.AAD.BrokerPlugin/S-1-15-2-2666988183-1750391847-2906264630-3525785777-2857982319-3063633125-1907478113

  1. Nutzen Sie das Tool TokenSmith oder extrahieren Sie die Entra ID Tokens manuell, wie im Beitrag von JUMPSEC LABS beschrieben.

Durch diese Vorgehensweise wird deutlich, wie die Tokens, die für die Intune Company Portal App generiert wurden, für andere Microsoft Apps verwendet werden können – ein klarer Verstoß gegen die vorgesehenen Sicherheitsrichtlinien.

Warum die Schwachstelle ein erhebliches Sicherheits- und Compliance-Risiko darstellt

Die Schwachstelle stellt ein erhebliches Risiko für die IT-Sicherheit und die Einhaltung von Compliance-Vorgaben dar, da sie eine der Kernmechanismen von Conditional Access untergräbt: Die Einschränkung des Zugriffs auf Unternehmensressourcen von Geräten, die nicht den geforderten Sicherheitsstandards entsprechen.

In der Praxis wird der Compliance-Status eines Geräts häufig genutzt, um die Zugriffsmöglichkeiten granular zu steuern:

  • Konforme Geräte: Diese Geräte erfüllen die Sicherheitsanforderungen des Unternehmens, z. B. aktuelle Updates, aktive Verschlüsselung oder bestimmte Konfigurationen. Sie erhalten in der Regel uneingeschränkten Zugriff auf Unternehmensressourcen wie E-Mails, Dateien und interne Anwendungen.

  • Nicht-konforme Geräte: Geräte, die den Anforderungen nicht entsprechen, werden häufig eingeschränkt, z. B. auf Lesezugriff oder komplett vom Zugriff ausgeschlossen.

Die aktuelle Schwachstelle erlaubt es jedoch, den Status „konform“ zu umgehen und Zugriff auf Unternehmensressourcen zu erhalten, selbst wenn das Gerät die Sicherheitsanforderungen nicht erfüllt. Dies birgt kritische Gefahren:

  1. Sicherheitsrisiken durch ungeschützte Geräte:
    Nicht-konforme Geräte können Sicherheitslücken aufweisen, wie veraltete Betriebssysteme oder fehlende Sicherheitsupdates. Wenn diese Geräte Zugriff auf Unternehmensdaten erhalten, steigt das Risiko, dass Malware oder unbefugte Dritte diese Daten kompromittieren.

  2. Einhaltung von Datenschutz- und Compliance-Anforderungen:
    In vielen Branchen sind Unternehmen gesetzlich verpflichtet, den Zugriff auf personenbezogene oder vertrauliche Daten zu kontrollieren. Ein Verstoß gegen diese Vorgaben – etwa durch unautorisierten Zugriff – kann hohe Bußgelder nach sich ziehen, beispielsweise gemäß der EU-DSGVO.

Wir empfehlen Organisationen, die stark auf Conditional Access und Intune setzen, unverzüglich Maßnahmen zu ergreifen, um ihre Umgebung abzusichern und die Auswirkungen dieser Schwachstelle zu minimieren.

Potentielle Auswirkungen: Was die Schwachstelle für Unternehmen bedeutet

Die Schwachstelle in den Conditional Access Richtlinien birgt das Potenzial, erhebliche Schäden für Unternehmen zu verursachen – sowohl auf technischer als auch auf organisatorischer Ebene:

  1. Datenverlust und -exfiltration:
    Ein unautorisierter Zugriff auf vertrauliche Daten kann zu deren unkontrollierter Verbreitung oder Diebstahl führen. Dies betrifft nicht nur Geschäftsinformationen, sondern auch personenbezogene Daten von Kunden und Mitarbeitenden.

  2. Produktivitätsverlust:
    Ein Sicherheitsvorfall, der durch diese Schwachstelle ausgelöst wird, könnte zu zeitaufwändigen Untersuchungen, Systemwiederherstellungen und potenziellen Service-Ausfällen führen, die die gesamte Organisation betreffen.

Empfohlene Maßnahmen zur Schwachstellenbehebung

Um die Auswirkungen der Schwachstelle zu minimieren und Ihre Umgebung bestmöglich abzusichern, empfehlen wir eine Reihe von Maßnahmen, die sowohl kurzfristige Abhilfe schaffen als auch langfristig die Sicherheit Ihrer IT-Infrastruktur stärken können.

  1. Absicherung der Intune Company Portal App

    Die Intune Company Portal App steht im Zentrum der Schwachstelle. Es ist essenziell, diese App durch eine zusätzliche Sicherheitsstufe zu schützen:

    • Multi-Faktor-Authentifizierung (MFA): Aktivieren Sie zwingend MFA für die Intune Company Portal App, um sicherzustellen, dass auch bei einem möglichen Token-Missbrauch zusätzliche Authentifizierungsmaßnahmen greifen.

    • Zugriffsprotokolle aktivieren: Überwachen Sie Anmeldeversuche und die Verwendung von Tokens aus dieser App, um auffällige Aktivitäten frühzeitig zu erkennen.

  1. Implementierung zusätzlicher Sicherheitskontrollen

    Ergänzende Maßnahmen können dazu beitragen, potenzielle Angriffe einzudämmen oder zu erschweren:

    • IP-Adressbeschränkungen: Begrenzen Sie den Zugriff auf die Intune Company Portal App und andere kritische Ressourcen auf vertrauenswürdige IP-Bereiche. Dies verhindert Zugriffe von unautorisierten oder ungewöhnlichen Standorten.

    • Phishing-resistente MFA: Nutzen Sie moderne Authentifizierungsmethoden wie FIDO2-Sicherheitsschlüssel, die schwerer zu kompromittieren sind als herkömmliche MFA-Verfahren.

    • Erweitertes Monitoring: Implementieren Sie ein detailliertes Monitoring der Token-Verwendung und ungewöhnlicher Anmeldeaktivitäten, um potenzielle Angriffe frühzeitig zu identifizieren und zu stoppen.

  1. Überprüfung und Anpassung der Conditional-Access-Richtlinien

    Stellen Sie sicher, dass Ihre Richtlinien auf dem neuesten Stand sind und berücksichtigen Sie mögliche Umgehungsmöglichkeiten:

    • Ergänzen Sie Richtlinien, die den Zugriff auf besonders kritische Ressourcen zusätzlich absichern, etwa durch device-specific Zertifikate oder weitere Authentifizierungsstufen.

  1. Risikoabschätzung und Datenschutz

    Bewerten Sie, ob die Schwachstelle in Ihrer Umgebung möglicherweise bereits ausgenutzt wurde. Sollten personenbezogene Daten kompromittiert worden sein, sind unter Umständen folgende Schritte erforderlich:

    • Dokumentation: Halten Sie alle Maßnahmen und Analysen umfassend schriftlich fest, um im Falle einer Prüfung durch Behörden nachweisen zu können, dass Sie angemessen reagiert haben.

Fazit: Handeln Sie jetzt, um Ihre Sicherheit zu gewährleisten

Die Schwachstelle in den Conditional-Access-Richtlinien von Microsoft Entra ID zeigt, wie wichtig es ist, Sicherheitsmechanismen regelmäßig zu überprüfen und Schwachstellen frühzeitig zu beheben. Unternehmen, die stark auf Microsoft-Technologien und Intune setzen, sollten die beschriebenen Maßnahmen dringend umsetzen, um Risiken zu minimieren und die Sicherheit ihrer IT-Infrastruktur zu gewährleisten.

Besonders in Umgebungen, in denen der Schutz sensibler Daten und die Einhaltung strenger Compliance-Vorgaben entscheidend sind, darf dieses Problem nicht unterschätzt werden. Ein proaktives Vorgehen kann nicht nur potenzielle Sicherheitsvorfälle verhindern, sondern auch den Schutz der Unternehmensdaten und das Vertrauen von Kunden und Partnern sichern.

Wenn Sie Unterstützung bei der Umsetzung der empfohlenen Maßnahmen oder weitere Informationen zur Behebung der Schwachstelle benötigen, stehen wir Ihnen gerne zur Seite.

Kontakt

Ihr persönlicher Ansprechpartner

Bei welchem Projekt oder welcher Herausforderung dürfen wir Sie unterstützen? Wir sind gerne für Sie da.

MICHAEL WILDGRUBER | Team Lead Digital Workplace – Cloud Productivity

+49 89  71040920

michael@provectus.de

Termin vereinbaren

Zum Kontaktformular

Wollen Sie immer up2date sein? Dann melden Sie sich jetzt zu unserem Newsletter an

Bleiben Sie auf dem Laufenden. Wir informieren Sie regelmäßig über aktuelle Trends und technologische Neuerungen sowie geplante Webinare und Events. Sie erhalten Einblick in interessante Kundenprojekte und werfen einen Blick hinter die Kulissen. Melden Sie sich jetzt an.

Zur Newsletter Anmeldung 

News & Updates

alles Wichtige auf einen Blick
Whitepaper

Whitepaper – Prozessautomatisierung mit der Microsoft Power Platform

Produktivität steigern durch Prozessautomatisierung. Microsoft Power Platform Lizenzen sowie Optimierungsmöglichkeiten im Überblick.
Weiterlesen
Blogbeitrag

Optimierte Azure-Kosten mit Azure Pricing Calculator und Cost Management

Der Azure Pricing Calculator gibt einen Überblick über Cloud Kosten. Durch eine Optimierungsstrategien profitieren Unternehmen effektiv.
Weiterlesen
Whitepaper

Whitepaper – Azure Cost Management

In diesem Whitepaper zeigen wir Ihnen, wie Sie mit Azure Cost Management Ihre Cloud-Kosten effektiv steuern und gleichzeitig die Vorteile der Cloud voll ausschöpfen können.
Weiterlesen
Blogbeitrag

Neue Microsoft Optimierung verbessert Teams-Erfahrung für VDI-User

Microsoft verbessert mit der neuen SlimCore-Optimierung die Leistung und Benutzererfahrung von Teams in VDI-Umgebungen. Die technischen Details erklärt unser Experte Patrick.
Weiterlesen
Blogbeitrag

Neue Sicherheitslücke bei Microsoft

Eine kürzlich entdeckte Sicherheitslücke in Microsoft ermöglichte es Nutzern ihren User Principal Name (UPN) eigenständig zu ändern. Unser Experte Julian klärt auf!
Weiterlesen
Blogbeitrag

Ein Meilenstein: Citrix Preferred Services Partner

Seit Dezember 2024 sind wir als Citrix Preferred Services Partner zertifiziert. Mit dieser Auszeichnung zählen wir zu einer exklusiven Gruppe weltweit und sind einer von nur vier Partnern in Deutschland.
Weiterlesen
Blogbeitrag

Citrix Lizenzen: User/Device-Modell oder doch Concurrent?

Was bedeuten die Definitionen im Citrix End-User Agreement? Was wird tatsächlich technisch als Lizenz ausgeliefert und was darf ich als Kunde nutzen?
Weiterlesen
Blogbeitrag

Citrix kauft DeviceTRUST und Strong Network: Was bedeutet das für Kunden?

Citrix kauft DeviceTRUST und Strong Network, um die Sicherheit seiner digitalen Workspace-Lösungen zu stärken
Weiterlesen
Echt Ich

Echt Ich Hannes

In ECHT ICH erfahrt ihr mehr über Hannes, seinen Arbeitsalltag, seine Hobbys und warum er bei Provectus „ECHT ER“ sein kann.
Weiterlesen
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter