KI Hinweis: Alle Zusammenfassungen wurden automatisch per KI erstellt und können Ungenauigkeiten enthalten.
← Zurück 11:00 – 11:30 (30 Min.) · Security-Stage · Vortrag auf einer Themenbühne (Technical Basics)
Security

From Consent to Compromise: Real-World Attack Paths in M365 & Entra ID

Ihre Conditional-Access-Policies sind konfiguriert, MFA ist aktiviert – und trotzdem kommt der Angreifer rein? Wir demonstrieren reale Angriffspfade in Microsoft 365 und Entra ID: von Consent-Phishing über Token-Missbrauch bis hin zu Techniken, die Standard-Sicherheitsmaßnahmen umgehen. Ein Blick hinter die Kulissen aktueller Offensive-Security-Engagements – mit konkreten Empfehlungen für die Verteidigung.

Boris Drogja

Boris Drogja

Security Consultant

Florian Groß

Florian Groß

Security Consultant

Wichtigste Erkenntnisse

6 Punkte

01

OAuth- und Consent-Prozesse stellen kritische Angriffspunkte in M365 und Entra ID dar.

02

Delegierte und Applikationsberechtigungen müssen differenziert betrachtet und abgesichert werden.

03

Herkömmliche Schutzmechanismen wie MFA greifen nach der Authentifizierung nicht mehr.

04

Ein Klick auf scheinbar legitime Berechtigungsanfragen kann weitreichende Schäden verursachen, insbesondere wenn Admins betroffen sind.

05

Prozesse zur Einschränkung oder Freigabe von Konsent sollten kritisch überprüft und überwacht werden.

06

Monitoringtools wie Microsoft Defender for Cloud Apps bieten wichtige Unterstützung bei der Überwachung und Alarmierung verdächtiger Aktivitäten.

Kurzfassung

Boris Drogia und Florian Groß, Security Consultants bei Bechtle, veranschaulichen in ihrem Vortrag anhand praxisnaher Beispiele, wie Angreifer über OAuth- und Consent-Prozesse in Microsoft 365 und Entra ID Zugriffe erschleichen können. Sie zeigen auf, dass gängige Schutzmaßnahmen wie MFA und Conditional Access nach dem Authentifizierungsprozess oftmals wirkungslos sind. Anhand einer Demo demonstrieren sie den Unterschied und die Risiken zwischen Delegated und Application Permissions. Der Vortrag schließt mit konkreten Empfehlungen, wie sich Unternehmen gegen solche Angriffsvektoren besser absichern können.

Langfassung

Im Vortrag "From Consent to Compromise" geben Boris Drogia und Florian Groß einen ausführlichen Einblick in die immer wichtiger werdenden Risiken im Zusammenhang mit OAuth und Konsent-Verfahren rund um Microsoft 365 und Entra ID. Sie starten mit einer Darstellung der aktuellen Angriffslandschaft, zu deren prominentesten Beispielen Token-Missbrauch, Missbrauch von privilegierten Apps, sowie Persistence-Backdoors und Identitätseskalation gehören. Das Grundproblem: Nach der Authentifizierung greifen grundlegende Schutzmaßnahmen wie Conditional Access oder Phishing-resistente Authentifizierung (z. B. FIDO2) nicht mehr, sobald der Nutzer ein gültiges Session-Cookie besitzt.

Mit anschaulichen Beispielen wie dem Sales Loft Drift und dem Midnight Blizzard Angriff illustrieren sie, wie Angreifer über legitime OAuth-Anfragen oder Admin-Consents Zugriff auf sensitive Daten von Unternehmen und auch deren Kunden erlangen können – selbst bei großen Konzernen wie Microsoft und Cloudflare. Exemplarisch zeigen sie eine eigene Demo, bei der sowohl ein normaler Nutzer als auch ein Administrator ahnungslos einer manipulierten Feedback-App weitreichende Berechtigungen (u. a. Zugriff auf E-Mails aller Benutzer) einräumen. Besonders problematisch: Ein Klick genügt, und in vielen Unternehmen klicken Nutzer wie auch Admins routinemäßig auf „Accept“, ohne die mitgegebenen Berechtigungen genau zu prüfen.

Sie erklären anschaulich die Unterscheidung zwischen "Delegated" (im Namen des Nutzers agierend) und "Application" Permissions (Anwendungszugriff unabhängig vom Benutzerkontext) sowie die damit verbundenen Risiken. Einmal ausgestellte Access Tokens bleiben für ihre Laufzeit gültig, unabhängig davon, ob ein Account danach deaktiviert wird. Ein möglicher Schutz liegt in der Härtung der Consent-Prozesse, Begrenzung von User-Consents, strikter Prüfung neuer Apps durch Admins und dem Einsatz von Monitoringtools wie Microsoft Defender for Cloud Apps. Abschließend betonen sie, dass sich der Fokus der Angreifer zunehmend in diese Bereiche verlagert und Unternehmen zeitnah ihre Prozesse, Rechtevergabe und Monitoring-Mechanismen anpassen sollten.

Ein Klick genügt, um diese Berechtigung einzuräumen. Das ist auch so ein bisschen das Erschreckende an diesem Thema.

— Die Vortragenden verdeutlichen, wie einfach weitreichende Zugriffsrechte durch unbedachtes Akzeptieren von Consent-Anfragen gewährt werden.

Der Angriff zielt tatsächlich auf die Applikationen, nicht auf Passwörter oder ich sag mal Identitäten im herkömmlichen Sinne.

— Kernbotschaft, dass klassische Schutzmaßnahmen wie Passwortschutz oder MFA nicht gegen solche Angriffsszenarien helfen.

Die Angreifer schlafen nicht. Ja und wir wollen natürlich auch immer mehr so ein bisschen standhalten mit dem was es da draußen an moderner Techniken gibt.

— Verweis auf die dynamisch wachsende Bedrohungslage und die Notwendigkeit der kontinuierlichen Anpassung der Abwehrmaßnahmen.

Der Token bleibt. Also er überlebt sogar im Zweifel auch ein Passwort-Reset.

Schlüsselwörter

OAuthConsentApplication PermissionsDelegated PermissionsAccess Token

Produkte / Programme

Microsoft 365Entra IDBechtleSales LoftSalesforceMicrosoft Defender for Cloud AppsOpenAIJetGPT (gemeint ist ChatGPT)CloudflareYubicoFIDO2

Genannte Personen

Boris DrogiaFlorian Groß