Intune Enterprise App erlaubt Compliant Device Bypass

Conditional Access ist eine der wichtigsten Sicherheitsmaßnahmen in Microsoft-Umgebungen, da es Unternehmen ermöglicht, den Zugriff auf sensible Daten gezielt zu steuern. Indem sichergestellt wird, dass nur Geräte mit den erforderlichen Sicherheitsstandards zugelassen werden, bietet Conditional Access eine zusätzliche Schutzebene gegen Angriffe und Datenverluste.

Eine jetzt bekannt gewordene Lücke ermöglicht es jedoch, diese Sicherheitsrichtlinien unter bestimmten Umständen zu umgehen. Geräte, die eigentlich als nicht konform eingestuft werden sollten, können dennoch unberechtigt Zugriff auf geschützte Ressourcen erlangen.

In diesem Blogbeitrag erläutere ich das Fehlerbild, zeige auf, wie die Schwachstelle nachgestellt werden kann und gebe Empfehlungen zur Absicherung Ihrer Systeme.

Schwachstelle in Conditional Access: Risiken für Compliance und Sicherheit

Die Sicherheitslücke betrifft die Conditional-Access-Richtlinien, die in Microsoft Entra ID (ehemals Azure AD) implementiert sind. Der Kern des Problems liegt in der fehlerhaften Implementierung der Intune Company Portal App, die normalerweise als Schnittstelle zur Überprüfung der Gerätekonformität dient.

Dabei zeigt sich das folgende Fehlerbild:

• Beim Zugriff auf Unternehmensressourcen über ein Gerät, das nicht als konform gilt, kann dennoch ein Zugangstoken ausgestellt werden.
• Dieser Token wird mit Hilfe der Schnittstelle für die Intune Company Portal App generiert, der eigentlich nur innerhalb der App gültig sein sollte.
• Aufgrund der Schwachstelle können diese Tokens auch für andere Microsoft-Anwendungen verwendet werden, wodurch die Sicherheitskontrollen von Conditional Access effektiv ausgehebelt werden.

In der Praxis bedeutet dies, dass ein Angreifer oder ein nicht autorisierter Benutzer über ein Gerät, das nicht den Konformitätsstandards entspricht, Zugriff auf geschützte Ressourcen wie E-Mails, Dateien oder andere Unternehmensdaten erhalten kann.

Wie lässt sich das Problem nachstellen?

Das Problem kann reproduziert werden, indem folgende Schritte durchgeführt werden:

1. Öffnen Sie die folgende URL in einem Browser auf einem nicht konformen Gerät:

https://login.microsoftonline.com/common/oauth2/v2.0/authorize?client_id=9ba1a5c7-f17a-4de9-a1f1-6178c8d51223&scope=openid+offline_access+https%3A%2F%2Fgraph.microsoft.com%2F.default&response_type=code&redirect_uri=ms-appx-web://Microsoft.AAD.BrokerPlugin/S-1-15-2-2666988183-1750391847-2906264630-3525785777-2857982319-3063633125-1907478113

2. Nutzen Sie das Tool TokenSmith oder extrahieren Sie die Entra ID Tokens manuell, wie im Beitrag von JUMPSEC LABS beschrieben.

Durch diese Vorgehensweise wird deutlich, wie die Tokens, die für die Intune Company Portal App generiert wurden, für andere Microsoft Apps verwendet werden können – ein klarer Verstoß gegen die vorgesehenen Sicherheitsrichtlinien.

Warum die Schwachstelle ein erhebliches Sicherheits- und Compliance-Risiko darstellt

Die Schwachstelle stellt ein erhebliches Risiko für die IT-Sicherheit und die Einhaltung von Compliance-Vorgaben dar, da sie eine der Kernmechanismen von Conditional Access untergräbt: Die Einschränkung des Zugriffs auf Unternehmensressourcen von Geräten, die nicht den geforderten Sicherheitsstandards entsprechen.

In der Praxis wird der Compliance-Status eines Geräts häufig genutzt, um die Zugriffsmöglichkeiten granular zu steuern:

• Konforme Geräte: Diese Geräte erfüllen die Sicherheitsanforderungen des Unternehmens, z. B. aktuelle Updates, aktive Verschlüsselung oder bestimmte Konfigurationen. Sie erhalten in der Regel uneingeschränkten Zugriff auf Unternehmensressourcen wie E-Mails, Dateien und interne Anwendungen.

• Nicht-konforme Geräte: Geräte, die den Anforderungen nicht entsprechen, werden häufig eingeschränkt, z. B. auf Lesezugriff oder komplett vom Zugriff ausgeschlossen.

Die aktuelle Schwachstelle erlaubt es jedoch, den Status „konform“ zu umgehen und Zugriff auf Unternehmensressourcen zu erhalten, selbst wenn das Gerät die Sicherheitsanforderungen nicht erfüllt. Dies birgt kritische Gefahren:

1. Sicherheitsrisiken durch ungeschützte Geräte:
   Nicht-konforme Geräte können Sicherheitslücken aufweisen, wie veraltete Betriebssysteme oder fehlende Sicherheitsupdates. Wenn diese Geräte Zugriff auf Unternehmensdaten erhalten, steigt das Risiko, dass Malware oder unbefugte Dritte diese Daten kompromittieren.

2. Einhaltung von Datenschutz- und Compliance-Anforderungen:
   In vielen Branchen sind Unternehmen gesetzlich verpflichtet, den Zugriff auf personenbezogene oder vertrauliche Daten zu kontrollieren. Ein Verstoß gegen diese Vorgaben – etwa durch unautorisierten Zugriff – kann hohe Bußgelder nach sich ziehen, beispielsweise gemäß der EU-DSGVO.

Wir empfehlen Organisationen, die stark auf Conditional Access und Intune setzen, unverzüglich Maßnahmen zu ergreifen, um ihre Umgebung abzusichern und die Auswirkungen dieser Schwachstelle zu minimieren.

Potentielle Auswirkungen: Was die Schwachstelle für Unternehmen bedeutet

Die Schwachstelle in den Conditional Access Richtlinien birgt das Potenzial, erhebliche Schäden für Unternehmen zu verursachen – sowohl auf technischer als auch auf organisatorischer Ebene:

1. Datenverlust und -exfiltration:
   Ein unautorisierter Zugriff auf vertrauliche Daten kann zu deren unkontrollierter Verbreitung oder Diebstahl führen. Dies betrifft nicht nur Geschäftsinformationen, sondern auch personenbezogene Daten von Kunden und Mitarbeitenden.

2. Produktivitätsverlust:
   Ein Sicherheitsvorfall, der durch diese Schwachstelle ausgelöst wird, könnte zu zeitaufwändigen Untersuchungen, Systemwiederherstellungen und potenziellen Service-Ausfällen führen, die die gesamte Organisation betreffen.

Empfohlene Maßnahmen zur Schwachstellenbehebung

Um die Auswirkungen der Schwachstelle zu minimieren und Ihre Umgebung bestmöglich abzusichern, empfehlen wir eine Reihe von Maßnahmen, die sowohl kurzfristige Abhilfe schaffen als auch langfristig die Sicherheit Ihrer IT-Infrastruktur stärken können.

1. Absicherung der Intune Company Portal App

   Die Intune Company Portal App steht im Zentrum der Schwachstelle. Es ist essenziell, diese App durch eine zusätzliche Sicherheitsstufe zu schützen:

   • Multi-Faktor-Authentifizierung (MFA): Aktivieren Sie zwingend MFA für die Intune Company Portal App, um sicherzustellen, dass auch bei einem möglichen Token-Missbrauch zusätzliche Authentifizierungsmaßnahmen greifen.

   • Zugriffsprotokolle aktivieren: Überwachen Sie Anmeldeversuche und die Verwendung von Tokens aus dieser App, um auffällige Aktivitäten frühzeitig zu erkennen.

2. Implementierung zusätzlicher Sicherheitskontrollen

   Ergänzende Maßnahmen können dazu beitragen, potenzielle Angriffe einzudämmen oder zu erschweren:

   • IP-Adressbeschränkungen: Begrenzen Sie den Zugriff auf die Intune Company Portal App und andere kritische Ressourcen auf vertrauenswürdige IP-Bereiche. Dies verhindert Zugriffe von unautorisierten oder ungewöhnlichen Standorten.

   • Phishing-resistente MFA: Nutzen Sie moderne Authentifizierungsmethoden wie FIDO2-Sicherheitsschlüssel, die schwerer zu kompromittieren sind als herkömmliche MFA-Verfahren.

   • Erweitertes Monitoring: Implementieren Sie ein detailliertes Monitoring der Token-Verwendung und ungewöhnlicher Anmeldeaktivitäten, um potenzielle Angriffe frühzeitig zu identifizieren und zu stoppen.

3. Überprüfung und Anpassung der Conditional-Access-Richtlinien

   Stellen Sie sicher, dass Ihre Richtlinien auf dem neuesten Stand sind und berücksichtigen Sie mögliche Umgehungsmöglichkeiten:

   • Ergänzen Sie Richtlinien, die den Zugriff auf besonders kritische Ressourcen zusätzlich absichern, etwa durch device-specific Zertifikate oder weitere Authentifizierungsstufen.

4. Risikoabschätzung und Datenschutz

   Bewerten Sie, ob die Schwachstelle in Ihrer Umgebung möglicherweise bereits ausgenutzt wurde. Sollten personenbezogene Daten kompromittiert worden sein, sind unter Umständen folgende Schritte erforderlich:

   • Dokumentation: Halten Sie alle Maßnahmen und Analysen umfassend schriftlich fest, um im Falle einer Prüfung durch Behörden nachweisen zu können, dass Sie angemessen reagiert haben.

Fazit: Handeln Sie jetzt, um Ihre Sicherheit zu gewährleisten

Die Schwachstelle in den Conditional-Access-Richtlinien von Microsoft Entra ID zeigt, wie wichtig es ist, Sicherheitsmechanismen regelmäßig zu überprüfen und Schwachstellen frühzeitig zu beheben. Unternehmen, die stark auf Microsoft-Technologien und Intune setzen, sollten die beschriebenen Maßnahmen dringend umsetzen, um Risiken zu minimieren und die Sicherheit ihrer IT-Infrastruktur zu gewährleisten.

Besonders in Umgebungen, in denen der Schutz sensibler Daten und die Einhaltung strenger Compliance-Vorgaben entscheidend sind, darf dieses Problem nicht unterschätzt werden. Ein proaktives Vorgehen kann nicht nur potenzielle Sicherheitsvorfälle verhindern, sondern auch den Schutz der Unternehmensdaten und das Vertrauen von Kunden und Partnern sichern.

Wenn Sie Unterstützung bei der Umsetzung der empfohlenen Maßnahmen oder weitere Informationen zur Behebung der Schwachstelle benötigen, stehen wir Ihnen gerne zur Seite.