Sicherheitslücke in Microsoft Entra: Angreifer missbrauchen Abrechnungsrollen für weitreichende Zugriffe

Eine neue Untersuchung von Sicherheitsexperten bei BeyondTrust wirft ein beunruhigendes Licht auf eine bislang kaum beachtete Schwachstelle in Microsofts Cloud-Infrastruktur. Angreifer nutzen gezielt bestimmte Abrechnungsrollen in Microsoft Entra ID– und Azure-Umgebungen, um sich weitreichende Berechtigungen in Unternehmensnetzwerken zu verschaffen – und das oft unbemerkt.

Angriff über die Hintertür: Gastzugriff mit weitreichenden Folgen

Kern des Problems ist die Möglichkeit, dass eingeladene Gastnutzer in Azure – trotz ihrer scheinbar eingeschränkten Rechte – neue Abonnements in fremden Mandanten erstellen oder übernehmen können. Die standardmäßige Systemkonfiguration erlaubt solche Vorgänge, sofern sie nicht explizit unterbunden werden. Damit öffnen sich Hintertüren für unbefugte Zugriffe, langfristige Präsenz und Eskalation von Berechtigungen.

Die Lücke basiert auf einem parallelen Berechtigungsmodell, das Microsoft für Abrechnungsrollen wie „Billing Account Owner“ oder „Azure Subscription Creator“ vorsieht. Diese Rollen, häufig im Heimmandanten eines Benutzers verankert, ermöglichen es, neue Abonnements in jedem Zielmandanten anzulegen – selbst wenn der Nutzer dort nur Gast ist.

Von der Einladung zur Kontrolle: Proof-of-Concept demonstriert Risiko

Wie BeyondTrust in einem Proof-of-Concept zeigt, können Angreifer sich über einen kostenlosen Azure-Testzugang selbst mit einer Abrechnungsrolle ausstatten, eine Gasteinladung in ein Zielunternehmen annehmen und dort ein vollständig kontrolliertes Azure-Abonnement erstellen. Dieses Abonnement wird zur Eintrittspforte: Die damit verbundenen Administratorrechte erlauben tiefe Einblicke in Unternehmensstrukturen – inklusive Root-Administratoren.

Zudem lassen sich Sicherheitsrichtlinien manipulieren, Warnsysteme umgehen und dauerhafte Zugriffsmöglichkeiten über benutzerverwaltete Identitäten einrichten. Selbst dynamische Gruppenmitgliedschaften, etwa im Zusammenhang mit virtuellen Maschinen, können ausgenutzt werden, um Richtlinien für den bedingten Zugriff auszuhebeln.

Microsoft erkennt Verhalten als „gewollt“ an – Experten warnen vor Folgen

Microsoft stuft dieses Verhalten als legitime Funktion für die mandantenübergreifende Zusammenarbeit ein. Doch genau darin liegt laut BeyondTrust die Gefahr: Ohne standardmäßige Opt-in-Sicherheitsbarrieren bleibt eine kritische Angriffsfläche ungeschützt.

Handlungsempfehlungen: Jetzt Maßnahmen ergreifen

BeyondTrust ruft Unternehmen dazu auf, ihre Sicherheitsstrategien umgehend zu überdenken. Insbesondere sollten:

• Richtlinien zur Erstellung und Übertragung von Abonnements überprüft und verschärft werden,

• Gastkonten und -berechtigungen regelmäßig auditiert werden,

• ungewöhnliche Aktivitäten in bestehenden Abonnements und Sicherheitswarnsystemen aktiv überwacht werden.

Sicherheitslösungen wie BeyondTrust Identity Security Insights können helfen, verdächtige Aktivitäten zu identifizieren und Risiken frühzeitig zu erkennen.

Gastzugriff neu denken – bevor es zu spät ist

Die Entdeckung zeigt deutlich: Klassische Bedrohungsmodelle für Gastkonten greifen zu kurz. Unternehmen sollten die neuen Angriffsvektoren ernst nehmen und ihre Cloud-Sicherheitsarchitektur entsprechend anpassen – bevor aus scheinbar harmlosen Gästen unkontrollierbare Eindringlinge werden.

Grafiken / Quelle: BeyondTrust

EntraID-Basisberechtigungsmodell

Azure-Ressourcen-Basisberechtigungsmodell

Abrechnungsberechtigungsmodell für Unternehmensverträge

Abrechnungsberechtigungsmodell für Microsoft-Kundenverträge

Von einem Gast erstelltes Abonnement im Ressourcenmandanten

Der Gast wird Eigentümer des von ihm erstellten Abonnements