Über 50.000 Azure AD-Nutzer durch gravierende Sicherheitslücke gefährdet – BeVigil deckt massive Schwachstelle auf

Eine kritische Schwachstelle in einem öffentlich zugänglichen API-Endpunkt hat die sensiblen Daten von mehr als 50.000 Azure Active Directory (Azure AD)-Nutzern offengelegt – darunter auch Informationen über Führungskräfte. Wie das Sicherheitsunternehmen CloudSEK mit seiner Plattform BeVigil herausfand, ermöglichte eine unzureichend gesicherte API, eingebettet in eine JavaScript-Datei, unbefugten Zugriff auf umfassende Microsoft Graph-Daten.

Quelle: CloudSEK

Unbemerkte Schwachstelle mit gravierenden Folgen

Im Rahmen einer Sicherheitsanalyse stieß BeVigil auf ein JavaScript-Bundle, das einen fest codierten API-Endpunkt enthielt. Brisant: Dieser konnte ohne Authentifizierung aufgerufen werden – und lieferte Zugriffstoken mit erweiterten Microsoft Graph-Berechtigungen wie User.Read.All und AccessReview.Read.All. Diese erlauben unter anderem den vollständigen Zugriff auf Benutzerprofile sowie auf sicherheitsrelevante Informationen zur Zugriffsverwaltung.

Die Folge: Ein Angreifer konnte detaillierte Mitarbeiterdaten wie Namen, Funktionen, E-Mail-Adressen, organisatorische Hierarchien und Einstellungen zur Zugriffskontrolle abrufen. Besonders alarmierend: Auch Daten von Entscheidungsträgern waren betroffen – ein gefundenes Fressen für gezielte Phishing-Angriffe, Identitätsdiebstahl und unautorisierte Rechteausweitung.

Quelle: CloudSEK

Umfangreiche Daten offengelegt – auch von neuen Nutzern

Der gefährdete API-Endpunkt war nicht nur offen, sondern auch weiterhin aktiv: Selbst nach der Entdeckung konnten über ihn Datensätze neu angelegter Benutzer eingesehen werden. Zu den preisgegebenen Informationen zählten persönliche Identifikatoren, Benutzerprinzipalnamen, Rollenzuweisungen und weitere Governance-Daten – ein beachtlicher Compliance-Risiko-Faktor im Hinblick auf Vorschriften wie DSGVO oder CCPA.

BeVigil empfiehlt sofortige Gegenmaßnahmen

Die Sicherheitsexperten von CloudSEK raten betroffenen Unternehmen, folgende Schritte umgehend umzusetzen:

• Zugriff beschränken: Den betroffenen API-Endpunkt sofort sperren und mit Authentifizierungsmechanismen absichern.

• Tokens widerrufen: Alle kompromittierten Zugriffstokens deaktivieren und betroffene Zugangsdaten neu generieren.

• Berechtigungen minimieren: Zugriffstokens auf den unbedingt erforderlichen Umfang beschränken (Prinzip der minimalen Rechte).

• API-Aktivitäten überwachen: Protokollierung und Warnsysteme einrichten, um verdächtige Nutzungsmuster zu erkennen.

• Frontend absichern: Keine sensiblen Informationen oder Logiken in clientseitige Skripte einbetten.

• Rollen prüfen: Azure AD-Rollen und Berechtigungen regelmäßig auf Überprivilegierung kontrollieren.

• Ratenbegrenzungen einführen: API-Endpunkte durch Drosselung und Anomalieerkennung zusätzlich absichern.

Ein Weckruf für Unternehmen

Dieser Vorfall ist mehr als nur eine technische Panne – er ist ein eindringlicher Appell an Unternehmen, ihre Sicherheitsarchitektur grundlegend zu hinterfragen. Offene Schnittstellen und unzureichend gesicherter Frontend-Code bieten eine gefährliche Angriffsfläche. Die Absicherung digitaler Systeme, insbesondere im Bereich Identitäts- und Zugriffsmanagement, ist nicht nur technische Notwendigkeit, sondern geschäftskritisch.

Redaktion AllAboutSecurity

Bild/Quelle: https://depositphotos.com/de/home.html