ADFS-Schwachstelle, Mandiant

ADFS-Schwachstelle: Mandiant warnt vor Schlüsseldiebstahl und Golden-SAML

Veröffentlicht: 08.07.2026 um 14:37 Uhr, Redaktion boerse-global.de

Mandiant-Forscher zeigen, wie Angreifer aktive ADFS-Schlüssel extrahieren. Unternehmen müssen ihre Identitätssicherheit dringend überprüfen.

ADFS-Signaturschlüssel im Visier: Neue Angriffsmethode aufgedeckt
Eine leuchtende digitale Taste wird von einer schattenhaften, abstrakten Hand aus einem Server-Rack gezogen, was einen Sicherheitsverstoß symbolisiert. Illustration mit AI erstellt übermittelt durch boerse-global.de

Sicherheitsforscher von Mandiant haben eine neue Angriffsmethode aufgedeckt, die aktive ADFS-Signaturschlüssel von Windows-Systemen extrahieren kann. Die am heutigen Mittwoch veröffentlichte Technik zielt auf die Machine Data Protection API (DPAPI) ab und stellt ein erhebliches Risiko für die Identitätsinfrastruktur dar.

Gefährliche Schwachstelle im Schlüsselmanagement

Angreifer mit SYSTEM-Zugriff auf einen ADFS-Server können demnach aktive Signaturschlüssel auslesen. Besonders gefährdet sind Umgebungen, in denen die Funktion „AutoCertificateRollover" deaktiviert ist oder manuelle Zertifikatsrotationen nicht vollständig synchronisiert wurden. Mit kompromittierten Schlüsseln können Angreifer sogenannte Golden-SAML-Attacken durchführen – sie erhalten dauerhaften, unbefugten Zugriff auf föderierte Ressourcen und umgehen dabei selbst Multi-Faktor-Authentifizierung.

Sicherheitsexperten empfehlen, ADFS-Server als Tier-0-Assets zu behandeln – die höchste Schutzstufe in der Identitätshierarchie eines Unternehmens. Zu den wirksamsten Gegenmaßnahmen zählen der Einsatz von Hardware-Sicherheitsmodulen (HSMs) zur Schlüsselspeicherung sowie die lückenlose Überwachung bestimmter Systemereignisse wie Event-ID 385 und Event-ID 4663.

Breitere Risiken für Entra ID und Identitätssysteme

Die Veröffentlichung fällt in eine Zeit verstärkter Aufmerksamkeit für Identitätsmanagement-Fehlkonfigurationen. Analysten haben mehrere typische Sicherheitslücken in Microsoft Entra ID identifiziert: dauerhafte administrative Zugriffsrechte, schwache Authentifizierungsmethoden und unzureichende Conditional-Access-Richtlinien. Bereits Anfang des Jahres wurde zudem eine Privilegienausweitung im Drupal-Modul für Microsoft Entra ID SSO Login entdeckt.

Anzeige

Angriffe auf die Identitätsinfrastruktur zeigen, wie verwundbar moderne Unternehmensnetzwerke sind. Dieses kostenlose E-Book liefert fundierte Informationen zu aktuellen Bedrohungen und praxisnahen Schutzmaßnahmen für Ihre IT-Sicherheit. Experten-Checkliste zur proaktiven Absicherung jetzt kostenlos herunterladen

Microsoft hat weitreichende Änderungen angekündigt: Bis zum 7. September 2026 sollen verzeichnisbasierte Telefonnummern und alternative E-Mails für die Self-Service-Passwortzurücksetzung (SSPR) in Entra ID abgeschafft werden. Während Neukunden bereits seit Januar 2026 betroffen sind, müssen Bestandskunden auf verifizierte Methoden wie Microsoft Authenticator oder FIDO2-Sicherheitsschlüssel umsteigen – sonst drohen Sperren.

Neue Bedrohungen in Cloud und Lieferkette

Identitätsbezogene Angriffe weiten sich zunehmend auf Cloud-Umgebungen und Software-Lieferketten aus. Eine aktuelle Analyse von fast 9.700 MCP-Servern ergab, dass über 5.800 Sicherheitsprobleme aufwiesen – mehr als 2.000 davon waren aktiv ausnutzbar. Die Schwachstellen reichten von willkürlichem Dateizugriff über Befehlseinschleusung bis hin zu fehlender Authentifizierung.

Im Cloud-Bereich haben Forscher spezifische Wege zur Privilegienausweitung in AWS Identity and Access Management (IAM) identifiziert. Dazu gehört der Missbrauch von Berechtigungen wie „iam:PassRole" in Kombination mit Lambda-Funktionen oder „ec2:AssociateIamInstanceProfile", mit dem sich Instanz-Anmeldedaten kapern lassen.

Anzeige

Neben technischen Schwachstellen nutzen Cyberkriminelle zunehmend psychologische Manipulationstaktiken, um Zugriff auf sensible Unternehmensdaten zu erhalten. Erfahren Sie in diesem kostenlosen Paket, wie Sie Phishing-Angriffe und CEO-Fraud effektiv stoppen können. Anti-Phishing-Leitfaden für Unternehmen gratis anfordern

Besonders alarmierend: Die Ransomware-Gruppe VECT hat sich mit TeamPCP zusammengetan und nutzt gestohlene Anmeldedaten aus manipulierten Open-Source-Paketen. Die Kampagne nutzte die Sicherheitslücke CVE-2026-33634 aus, um legitime Tools und SDKs wie LiteLLM und Telnyx zu überschreiben. Erst Anfang Juli wurde zudem vor Device-Code-Phishing-Kampagnen gewarnt, die Microsofts Geräte-Anmeldefluss missbrauchen, um M365-Konten zu kompromittieren.

Disclaimer zu unseren Artikeln: Keine Anlageberatung, keine Kauf oder Verkaufsempfehlung. Angaben zu Kursen, Unternehmen und Märkten ohne Gewähr; Änderungen jederzeit möglich. Börsengeschäfte können zu hohen Verlusten führen. Unsere Beiträge werden ganz oder teilweise automatisiert mit Unterstützung von AI erstellt und geprüft.

de | wissenschaft | 69723679 |