Microsoft Entra ID: Schwachstelle umgeht Zugriffskontrollen
22.06.2026 - 21:10:07 | boerse-global.de
Sicherheitsforscher haben eine Schwachstelle in Microsoft Entra ID entdeckt, die es Angreifern ermöglichte, sogenannte Conditional Access Policies (CAPs) zu umgehen. Der Fehler, aufgedeckt von Thomas Byrne vom Sicherheitsunternehmen NetSPI, nutzte eine Technik namens Nested App Authentication (NAA), um unbefugten Zugriff auf sensible Daten zu erlangen.
Neue KI-Gesetze, neue Cyberrisiken: Was kommt wirklich auf Ihr Unternehmen zu? Dieser kostenlose Report klärt auf, welche rechtlichen Pflichten und Bedrohungen Unternehmer jetzt kennen müssen. Kostenlosen Cyber Security Guide jetzt herunterladen
Wie die Umgehung funktionierte
Das Problem lag in der OAuth-Implementierung von Microsoft für das Single Sign-On (SSO). Konkret konnten Refresh-Tokens zwischen vertrauenswürdigen Erstanbieter-Anwendungen wiederverwendet werden. Ein Angreifer konnte etwa einen Token aus dem Azure Portal nehmen und damit über die ADIbizaUX-Anwendung Microsoft-Graph-Tokens anfordern.
Der entscheidende Punkt: Dabei wurden die Conditional Access Policies nicht korrekt ausgewertet. Diese Richtlinien sollen eigentlich zusätzliche Sicherheitsanforderungen wie Multi-Faktor-Authentifizierung oder die Einhaltung von Geräte-Compliance-Regeln durchsetzen, bevor der Zugriff gewährt wird. Die ADIbizaUX-Anwendung spielte eine Schlüsselrolle, da sie über weitreichende, vorab erteilte Berechtigungen im Microsoft-Ökosystem verfügt.
Microsoft hat das Problem inzwischen behoben. Der Konzern stufte die Schwachstelle als mittelschwer ein und lieferte einen Patch, der sicherstellt, dass CAP-Prüfungen bei Token-Anfragen korrekt durchgeführt werden.
Angreifer setzen verstärkt auf Identitätsdiebstahl
Die Entdeckung dieser Lücke fällt in eine Zeit, in der identitätsbasierte Cyberangriffe massiv zunehmen. Aktuelle Sicherheitsberichte zeigen, dass Erpresserbanden und andere Bedrohungsakteure sich zunehmend von klassischen Software-Exploits abwenden. Stattdessen konzentrieren sie sich auf Edge-Geräte wie VPNs und Firewalls sowie auf gestohlene Zugangsdaten.
Über 60 Prozent aller Erstzugriffe im vergangenen Quartal erfolgten über diese beiden Wege. Analysten betonen, dass schwaches Identitätsmanagement oft die laterale Bewegung innerhalb von Unternehmensnetzwerken erleichtert. Jüngste Vorfälle bei Unternehmen wie 7-Eleven oder der University of Nottingham zeigen das Muster: Angreifer nutzten kompromittierte OAuth-Tokens, Social Engineering und MFA-Ermüdungsangriffe, um in die Systeme einzudringen.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern und Sicherheitslücken schließen, bevor es zu spät ist. Kostenlosen Sicherheits-Ratgeber sichern
Microsoft vereinheitlicht Identitätsdienste
Parallel zu den Sicherheitsupdates kündigte Microsoft Änderungen an seinen Azure-DevOps-Identitätsdiensten an. Der Konzern wird den Azure DevOps Issuer in den Workload Identity Federation (WIF)-Serviceverbindungen zugunsten des Microsoft Entra Issuers abschaffen.
Der aktuelle Issuer wird zum 1. Juli 2026 als veraltet markiert, die endgültige Abschaltung ist für den 1. Juli 2027 geplant. Ziel ist es, die Authentifizierungsprozesse über die gesamte Microsoft-Cloud zu vereinheitlichen. Administratoren müssen bestehende Verbindungen rechtzeitig auf die Entra-Infrastruktur umstellen.
Branche setzt auf identitätszentrierte Sicherheit
In einem weiteren Sicherheits-Update hat Tigera kürzlich Lynx vorgestellt, eine Kontrollebene zur Sicherung von Kubernetes-nativen KI-Agenten. Die Plattform nutzt kryptografische Identitäten und eBPF-Technologie, um Sicherheit in komplexen Container-Umgebungen zu gewährleisten – ein weiteres Zeichen für den branchenweiten Fokus auf identitätsbasierte Verteidigungsmechanismen.
