Schwachstelle in CA-Richtlinien
Was steckt hinter Compliance ByPass?
Diese Schwachstelle ermöglicht es Angreifern, die Abfrage des „Compliant-Status“ von Geräten zu umgehen und somit Schutzmechanismen, wie Conditional-Access auszusetzen.
Durch die Extraktion von Token, die normalerweise für die Intune-Company-Portal-App bestimmt sind, kann ein Angreifer den „Compliant-Device“ Status auf einem unbekannten Gerät erlangen, und somit Conditional-Access Richtlinien, die ein Compliant-Device erfordern umgehen.
Wie läuft ein Angriff ab?
Angreifer können Tokens aus der Intune-Company-Portal-App extrahieren und für andere Microsoft-Anwendungen verwenden, wodurch Device-Compliance-Prüfungen umgangen werden können.
Durch die Nutzung einer speziellen URL und Tools wie TokenSmith kann dieser Angriff schnell reproduziert werden, was einen Angriffsversuch verhältnismäßig leicht macht.
Wo liegt die Gefahr und wer ist gefährdet?
Mit Hilfe der Schwachstelle können Angreifer solche Conditional-Access Regeln umgehen, die einem „Compliant-Device“ vertrauen. Bestehen bleibt jedoch die Hürde, dass der Angreifer gültige Zugangsdaten (Benutzername & Passwort) sowie MFA (falls angefordert) für den Ziel-Tenant benötigen. Zudem benötigt der Angreifer auch noch den hier mehrmals thematisierten Token.
Welche Maßnahmen können schnell getroffen werden?
Wir empfehlen, für sämtliche Zugriffe (insbesondere für Anmeldungen an der Company-Portal-App) Multi-Faktor-Authentifizierung anzufordern. Zudem sollten Sie prüfen, ob Sie über CA-Richtlinien Anmeldungen ohne MFA zulassen, wenn das Gerät den „Compliant-Status“ entspricht.
Prävention
Sentinel oder SIEM-Lösung
Microsoft Sentinel kann die Anmeldeprotokolle im Tenant analysieren, und somit mit Hilfe von Detection Rules erkennen, ob versucht wird, die Schwachstelle auszunutzen. Anschließen könnte mit automatisieren Playbooks der Zugang des betroffenen Users gesperrt werden.
Weitere Informationen finden Sie ebenfalls in der obigen Anleitung.
