Schwachstelle in Microsoft Entra ID: Angreifer können globale Administratorrechte erlangen

In Microsofts Cloud-Plattform Entra ID wurde eine schwerwiegende Sicherheitslücke entdeckt. Sicherheitsforscher zeigen, dass es möglich ist, über eine First-Party-App Berechtigungen zu eskalieren und so Zugriff als globaler Administrator zu erhalten.

Die Schwachstelle eröffnet potenziellen Angreifern die Möglichkeit, vollständige Kontrolle über Unternehmensumgebungen zu übernehmen. Betroffen sind insbesondere Organisationen, die Entra ID zur Identitäts- und Zugriffsverwaltung einsetzen.

Wichtige Punkte

Auszüge aus dem Originalbeitrag

• Dienstprinzipien (SPs), denen die Rolle „Cloudanwendungsadministrator“, „Anwendungsadministrator“ oder die Berechtigung „Application.ReadWrite.All“ zugewiesen ist, können ihre Berechtigungen eskalieren, indem sie jeden beliebigen hybriden Entra ID-Benutzer übernehmen, einschließlich Benutzer mit der Rolle „Globaladministrator“.
• Diese Rechteausweitung funktioniert, wenn ein SP verwendet wird, um den integrierten Office 365 Exchange Online SP zu kapern. Die Berechtigung „Domain.ReadWrite.All“ des Office 365 Exchange Online SP wird dann verwendet, um dem Mandanten eine neue Verbunddomäne hinzuzufügen. Anschließend kann ein SAML-Token als beliebiger hybrider Mandantenbenutzer gefälscht werden, der zwischen dem lokalen Active Directory (AD) und einem Entra ID-Mandanten synchronisiert ist. Wir haben diese Sicherheitslücke am 14. Januar 2025 zusammen mit einem Proof-of-Concept-Code (POC) zur Reproduktion des Problems an das Microsoft Security Response Center (MSRC) gemeldet. Das MSRC antwortete, dass „das beschriebene Szenario die in der Microsoft Security Bulletin-Sicherheitsanfälligkeits- und Schwachstelleninformationen für den 14. Januar
• Wir haben diese Sicherheitslücke am 14. Januar 2025 zusammen mit einem Proof-of-Concept-Code (POC) zur Reproduktion des Problems an das Microsoft Security Response Center (MSRC) gemeldet.
• Das MSRC antwortete, dass „das beschriebene Szenario eine Fehlkonfiguration und keine Umgehung der Sicherheit darstellt“. Das MSRC erklärte, dass dieses Problem mit dem dokumentierten Risiko der Rolle „Anwendungsadministrator“ und der Microsoft Graph-Berechtigung „Application.ReadWrite.All“ übereinstimmt.
• Privilegierte Entra ID-Anwendungen, für die in der zugehörigen App-Registrierung keine App-Instanz-Eigenschaftssperre konfiguriert ist, sind anfällig für eine ähnliche Berechtigungseskalation.
• Um diese Art der Berechtigungseskalation zu erkennen, überwachen Sie die zu Anwendungen hinzugefügten Anmeldeinformationen, insbesondere diejenigen, die zu SPs hinzugefügt wurden. Weitere Informationen hierzu finden Sie unter Zusätzliche Sicherheitsüberlegungen.
• Dieser Beitrag enthält ausführliche Hintergrundinformationen zu Entra ID-Anwendungen für Sicherheitsexperten.

Der Angriffsvektor basiert auf der Manipulation von Azure Active Directory Graph API-Aufrufen und der Ausnutzung von Schwächen in der Validierung von Benutzerberechtigungen bei Anfragen zur Rechteausweitung. Dabei nutzen Angreifer gezielt API-Endpunkte, über die normalerweise nur nach erfolgreicher Authentifizierung und Autorisierung erweiterte Berechtigungen beantragt werden können.

Der Angriff erfolgt durch das Erstellen speziell formulierter Anfragen an die Microsoft Graph API. Diese richten sich insbesondere an Endpunkte, die für die Verwaltung von Rollen und Berechtigungen zuständig sind. Auf diesem Weg lassen sich herkömmliche Sicherheitsmechanismen umgehen und unbefugter Zugriff auf administrative Funktionen erlangen, die regulär ausschließlich globalen Administratoren vorbehalten sind.

Unternehmen, die Microsoft Entra ID für zentrale Funktionen wie Single Sign-On (SSO), Multi-Faktor-Authentifizierung (MFA) oder Richtlinien für bedingten Zugriff nutzen, sind besonders gefährdet. Ein erfolgreicher Angriff kann den vollständigen Zugriff auf Benutzerkonten, Sicherheitsrichtlinien und sensible Daten im Microsoft 365-Umfeld ermöglichen.

Die Schwachstelle betrifft tenantweite Konfigurationen und eröffnet Angreifern unter anderem die Möglichkeit, Sicherheitseinstellungen zu ändern, neue Administratorkonten anzulegen und auf vertrauliche Informationen in allen angebundenen Anwendungen und Diensten zuzugreifen.

Unternehmen wird geraten, sofort Maßnahmen zur Überwachung ungewöhnlicher Rechteausweitungen zu ergreifen und ihre bestehenden Identitätsmanagement-Strukturen zu überprüfen. Sicherheitsteams sollten Audit-Protokollierungen intensivieren und zusätzliche Prüfmechanismen für kritische Vorgänge einführen.

Microsoft wurde über die Sicherheitslücke informiert. Unternehmen sollten sich auf entsprechende Updates vorbereiten und in der Zwischenzeit ihre Zero-Trust-Architekturen stärken. Eine Überprüfung aller zugewiesenen globalen Administratorrechte wird dringend empfohlen, um sicherzustellen, dass nur notwendige Zugriffe gewährt werden.

Fazit der Sicherheitsforscher von Datadog:

„In diesem Beitrag haben wir eine Entdeckung beschrieben, bei der der SP einer Microsoft-Eigenanwendung in Entra ID über die Verbundauthentifizierung für Persistenz und Berechtigungseskalation ausgenutzt werden kann.“

In diesem Szenario kann ein SP, dem die Rolle „Anwendungsadministrator“, „Cloud-Anwendungsadministrator“ oder die Berechtigung „

Application.ReadWrite.All

“ zugewiesen ist, mithilfe der Berechtigung „

Domain.ReadWrite.All

“ des Office 365 Exchange Online-SP jeden Benutzer in einem hybriden Mandanten übernehmen.

Microsoft-Eigenanwendungen sind nicht die einzigen SPs, die für diese Art der Übernahme anfällig sind. Um sich vor dieser Art der Berechtigungseskalation zu schützen, empfehlen wir Ihnen, die in diesem Beitrag aufgeführten Sicherheitshinweise zu lesen.

„Wir danken MSRC für die Überprüfung dieses Verhaltens und die Klarstellung seiner Haltung zu diesem Szenario.“

Quelle: DATADOG Security Labs

---