Wenn es um die Reaktion auf Vorfälle geht, ist die Kompromittierung von Benutzerkonten einer der häufigsten – und gefährlichsten – Fehler, den IT-Teams machen. Wenn ein Systemadministrator erfährt, dass die E-Mail-Adresse eines Mitarbeiters gehackt wurde, ist sein erster Instinkt fast universell:Passwort-Reset erzwingen.
Diese Maßnahme ist zwar unerlässlich, allein angesichts moderner Cyberangriffe ist sie jedoch tragischerweise unzureichend. Um zu verstehen, warum ein Hacker noch Stunden nach der Passwortänderung ein E-Mail-Postfach leeren kann, müssen Sie sich mit den Authentifizierungsmechanismen von Microsoft Entra ID (Azure AD) befassen und den entscheidenden Unterschied zwischen Zurücksetzen und Widerrufen verstehen.
Der Mythos, Ihr Passwort zu ändern
In der kollektiven Vorstellung ist das Ändern eines Passworts wie das Auswechseln eines Türschlosses: Wer den neuen Schlüssel nicht hat, wird sofort aus dem Haus geworfen. In der Cloud-Welt ist dies nicht der Fall.
Wenn Sie sich bei Microsoft 365 anmelden, überprüft Entra ID Ihre Identität (Passwort + MFA) und stellt Ihnen ein „Zugriffstoken“ und ein „Aktualisierungstoken“ aus.
- L'Zugriffstokenist für kurze Zeit (in der Regel 1 Stunde) gültig und ermöglicht Ihnen den Zugriff auf Exchange oder SharePoint ohne erneute Anmeldung.
- DERAktualisierungstoken(gültig für bis zu 90 Tage) ermöglicht es dem Browser, stillschweigend ein neues Zugriffstoken anzufordern, wenn das erste abläuft.
Wenn ein Hacker die Sitzung Ihres Benutzers gestohlen hat (Token-Diebstahl), hat er diese Token auf seinem eigenen Computer.Wenn Sie nur das Passwort ändern, bleibt der Refresh-Token des Hackers gültig.Wenn er versucht, auf ein neues Dokument zuzugreifen, akzeptiert Entra ID sein Aktualisierungstoken und erteilt ihm neuen Zugriff. Der Hacker bleibt verbunden und setzt seine Datenexfiltration völlig ungestraft fort.
Die wahre Notfallwaffe: Der Widerruf von Sitzungen
Um einen Angreifer wirklich aus Ihrer Infrastruktur zu „vertreiben“, müssen Sie das Vertrauen, das das System in zuvor ausgegebene Token setzt, ungültig machen. Dies ist die Rolle desWiderruf von Sitzungen(der API-BefehlrevokeSignInSessions).
Wenn dieser Befehl ausgeführt wird:
- Microsoft Entra ID macht alle sofort ungültigToken aktualisierenfür diesen Benutzer ausgestellt.
- Ein Widerrufereignis wird an alle Cloud-Dienste (Teams, Outlook, SharePoint, OneDrive) weitergegeben.
- Sobald das aktuelle Zugriffstoken des Angreifers abläuft (oder sobald er eine neue Aktion versucht, die eine Validierung erfordert), wird ihm der Zugriff verweigert. Plötzlich wird die Verbindung getrennt und zur Anmeldeseite weitergeleitet, wo er seine Identität nachweisen muss.
Gemeinsame Orchestrierung mit Akuity SOC
Damit die Identitätskorrektur perfekt ist, müssen immer beide Aktionen kombiniert werden. Der OrchestratorAkuity SOCwurde entwickelt, um diese technische Choreografie zu rationalisieren, um den vollständigen Ausschluss des Hackers und eine sichere Wiederaufnahme der Tätigkeit des Mitarbeiters zu gewährleisten.
Auf der Registerkarte „Gefährdete Identitäten“ kann der SOC-Analyst Vorgänge in völliger Sicherheit verketten:
Schritt 1: Zugriff sperren (Sitzungen widerrufen)
Mit einem Klick löst der Analyst die Aktion ausrevokeSessions. Das Backend validiert die Identität des Analysten über seine MFA-Anwendung (AAL2-Sicherheitsstufe erforderlich) und übermittelt den globalen Widerrufsauftrag an die Microsoft Graph-API. Der Pirat wird vertrieben.
Schritt 2: Sperre ändern (Passwort zurücksetzen)
Unmittelbar danach nutzt der Analyst die AktionresetUserPassword. Im Gegensatz zur klassischen Azure-Konsole, die mühsam sein kann, generiert Akuity im Handumdrehen ein robustes temporäres Passwort (z. B.:Xy7!pL9#mK2).
Dieses Passwort wird in einem angezeigtsicheres persistentes ModalAusgestattet mit einer Schnellkopiertaste. Dabei handelt es sich lediglich um ein Übergangskennwort: Die Aktion ändert das Profil des Benutzers in Entra ID, um eine obligatorische Änderung zu erzwingen, sobald er sich damit erneut anmeldet.
Fazit: Übernehmen Sie die richtigen SOAR-Reflexe
Lassen Sie nicht zu, dass mangelndes Verständnis der OAuth-Token-Mechanismen die Sicherheit Ihres Unternehmens gefährdet. Bei einer Identitätsdiebstahlwarnung ist die richtige Reihenfolge unveränderlich: zuerst widerrufen, später zurücksetzen.
Durch die direkte Integration dieser Funktionen in einen Reaktionsorchestrator stellen Sie sicher, dass Ihre Tier-1-Teams stets die richtige Behebungsmethode anwenden, ohne Fehler und innerhalb von Sekunden.
Sichern Sie Ihre Identitätskorrektur.> Entdecken Sie, wie unsere PlattformIdentitätsmanagement bei Risiko Entra IDAutomatisiert den Sitzungswiderruf und das sichere Zurücksetzen.