Fehlkonfiguration in M365: Conditional Access umgehen
Viele Unternehmen setzen Conditional Access in Microsoft 365 voraus, um sensible Ressourcen nur unter bestimmten Bedingungen – z. B. bei aktivem MFA oder Firmengeräten – freizugeben. In einem unserer Assessments fanden wir eine Konfiguration, die auf den ersten Blick solide wirkte, aber es uns ermöglichte, MFA vollständig zu umgehen – mit potenziell schwerwiegenden Folgen.
Kontext: Azure AD, MFA und Session Controls
Der Kunde hatte mehrere Conditional Access Policies aktiv, die unter anderem MFA für alle externen Zugriffe erzwangen. Jedoch wurde für einige Service Principal-basierte Applikationen kein Benutzerkontext erzwungen, wodurch ein bestimmter OIDC-basierter Flow für automatisierte Scripts offen blieb. Dadurch war es möglich, ein Zugriffstoken über eine Anwendung zu erhalten, ohne MFA auszulösen – obwohl der Benutzer MFA-geschützt war.
Token Replay mit Benutzerrechten
Mit dem Tool ROADtools konnten wir ein Zugriffstoken im Namen des Benutzers extrahieren und gezielt Replay-Angriffe auf Microsoft Graph API durchführen. Dies erlaubte unter anderem:
- Lesen von M365-Mailboxen über
/me/messages - Auflistung aller Benutzer über
/users - Zugriff auf OneDrive-Daten über
/me/drive
Was lief falsch?
Die Conditional Access Policies waren zwar vorhanden, aber nicht granular genug. Die betroffene Applikation war nicht in den Scope aufgenommen, und es wurde keine Authentifizierungsstufe auf Token-Basis validiert. Microsoft empfiehlt ausdrücklich, für Applikationen wie diese explizite Policies zu definieren, insbesondere wenn Benutzerkontext simuliert werden kann.
☁️ Wie sicher ist Ihre Microsoft-Cloud wirklich?
Unser Azure/M365 Assessment identifiziert genau solche Schwächen – bevor es ein echter Angreifer tut.
Jetzt Assessment buchen