Microsoft Entra ID: Forscher decken Admin-Lücke in Identity-Plattform auf
19.06.2026 - 09:15:49 | boerse-global.de
Forscher von Datadog Security Labs haben eine hochentwickelte Schwachstelle in Microsoft Entra ID aufgedeckt. Die am heutigen Freitag veröffentlichte Analyse zeigt, wie Angreifer kompromittierte Agenten-Konfigurationen nutzen können, um zwischen verschiedenen Mandanten zu navigieren und bis zur Global-Administrator-Ebene aufzusteigen.
Angesichts der komplexen Angriffswege auf Identitätsplattformen wie Microsoft Entra ID ist ein proaktiver Schutz der gesamten Unternehmens-IT unerlässlich. Dieses kostenlose E-Book zeigt Ihnen, wie Sie Sicherheitslücken schließen und sich effektiv vor modernen Bedrohungen schützen. Jetzt kostenlosen Cyber-Security-Ratgeber sichern
Der Mechanismus der Blaupausen-Kompromittierung
Im Zentrum der Sicherheitslücke steht die sogenannte „People Team Agents"-Blaupause innerhalb eines Entra-Mandanten. Gelingt es einem Angreifer, diese Blaupause zu kompromittieren, kann er unbefugte Anmeldedaten einschleusen. Mit diesen Daten kann sich der Angreifer dann als Agenten-Identität über verschiedene Mandanten hinweg authentifizieren.
Ein entscheidender Schritt des Angriffs ist der Missbrauch des Temporary Access Agent. Durch die Ausnutzung dieser Komponente kann ein Angreifer einen temporären Zugangspass (TAP) für ein Global-Administrator-Konto erstellen. Dieser Prozess umgeht bestehende Sicherheitsprotokolle – einschließlich Standard-Passwörter und Multi-Faktor-Authentifizierung (MFA) – und verschafft dem Angreifer die vollständige Kontrolle über den Zielmandanten.
Seitwärtsbewegung und Identitätsdiebstahl
Die Untersuchung zeigt zudem, wie Angreifer sekundäre oder „Child"-Mandanten entdecken und auf diese zugreifen können. Dies geschieht durch den Einsatz von Gastkonten und die Analyse von OpenID-Konfigurationen.
Mittels Token-Austausch können Angreifer privilegierte Agenten-Identitäten imitieren. Diese Fähigkeit ermöglicht eine nahtlose Bewegung zwischen Organisationsgrenzen, die bestimmte Agenten-Konfigurationen gemeinsam nutzen. Sicherheitsanalysten beobachten, dass diese Taktik Techniken ähnelt, die zuvor der Bedrohungsgruppe Midnight Blizzard zugeschrieben wurden.
Erkennungsmerkmale für Administratoren
Im Rahmen der Offenlegung identifizierten die Sicherheitsforscher spezifische technische Indikatoren, die auf unbefugte Aktivitäten im Zusammenhang mit diesem Angriffspfad hindeuten können. Die relevanten Anwendungs-IDs lauten 0cec06c9-146f-4c91-a4d6-c5085d95bab4 und 11778f67-fffe-44ea-b745-6e59a16253d4. Zusätzlich verwiesen die Forscher auf die Objekt-IDs 413b521b-b57f-42c9-97fc-9ce3cde91b1f und 00aaadc5-0abb-41d9-4bea-2aa03948536f als wichtige Marker für die Erkennung.
Wachsende Bedrohungslage im Identitätsmanagement
Die Entdeckung der Entra-Agent-ID-Schwachstelle fällt in eine Zeit erhöhter Besorgnis über identitätsbasierte Angriffe. Erst kürzlich wurde Aktivität der Gentleman-Ransomware-Gruppe gemeldet, die Tools zur Deaktivierung von Endpoint Detection and Response (EDR)-Systemen einsetzt und dabei FortiGate-Infrastruktur ins Visier nimmt sowie Proxys missbraucht.
Diese Entwicklungen unterstreichen einen wachsenden Trend: Angreifer priorisieren zunehmend die Kompromittierung von Identitätsmanagement-Blaupausen und administrativen Zugangspässen, um traditionelle Perimeter-Verteidigungen zu umgehen. Branchenanalysten sehen in der Komplexität von Multi-Tenant-Umgebungen ein primäres Ziel für hochentwickelte Bedrohungsakteure, die nach hochprivilegierten Zugängen suchen.
