Logo Akuity SOC
Akuity SOC
CYBERSECURITY
Identitätsmanagement (Entra ID)

Token-Diebstahl: Der Angriff, der die MFA von Entra ID umgeht

5 min de lecture Akuity SOC · Delphisoft Deutschland

Angesichts des Diebstahls von Sitzungstoken (Token Theft) reicht eine doppelte Authentifizierung nicht mehr aus. Erfahren Sie, wie Sie Entra ID-Sitzungen mit einem Klick widerrufen.

Die Zwei-Faktor-Authentifizierung (MFA) gilt seit langem als Allheilmittel für Cybersicherheit. Allerdings waren die Angriffe auf die Microsoft Entra ID-Umgebung noch nie so zahlreich. Der Grund ist einfach: Professionelle Cyberkriminelle versuchen nicht mehr, die Passwörter Ihrer Mitarbeiter zu erraten, sondern stehlen direkt bereits authentifizierte Sitzungen.

Diese beeindruckende Technik, bekannt alsToken-Diebstahl(oder Session-Token-Diebstahl) ermöglicht es einem Angreifer, MFA auf völlig transparente Weise zu umgehen. Angesichts dieser gewaltigen Bedrohung ist die manuelle Reaktion von IT-Teams oft zu langsam. Erfahren Sie, wie dieser Angriff funktioniert und wie Sie ihn mit einem SOAR-Ansatz sofort neutralisieren können.

Was ist ein Sitzungstoken?

Wenn ein Mitarbeiter eine Verbindung zu seiner Microsoft 365-Umgebung (Outlook, Teams, SharePoint) herstellt, gibt er sein Kennwort ein und validiert eine Benachrichtigung in seiner Microsoft Authenticator-Anwendung. Sobald diese Multi-Faktor-Verifizierung erfolgreich ist, liefert Entra ID an den Browser aSitzungstokenin Form eines sicheren Cookies.

Dieser Token fungiert als temporärer Zugangsausweis. Dadurch muss der Benutzer nicht jedes Mal, wenn er einen neuen Tab öffnet oder seinen Posteingang aktualisiert, sein Passwort erneut eingeben oder seine MFA erneut validieren. Das Problem liegt auf der Hand: Wenn es einem Hacker gelingt, dieses „Badge“ zu kopieren, erhält er die gleichen Zugriffsrechte wie der legitime Benutzer, ohne jemals eine MFA-Warnung auslösen zu müssen.

Wie stehlen Angreifer diese Token?

Cyberkriminelle nutzen hauptsächlich zwei Methoden, um diese wertvollen Authentifizierungscookies wiederherzustellen:

  1. AiTM-Phishing (Adversary-in-the-Middle):Der Benutzer erhält eine E-Mail mit der Einladung, sich bei einem gefälschten Microsoft-Portal anzumelden. Dieses Portal fungiert als unsichtbarer Proxy. Der Benutzer gibt sein Passwort ein und validiert seine MFA. Das gefälschte Portal übermittelt diese Informationen an den echten Microsoft-Server, ruft das gültige Sitzungstoken ab, speichert es für den Hacker im Speicher und meldet den Benutzer dann an, als wäre nichts passiert.
  2. Infostealer (Informationen stehlende Malware):Der Benutzer lädt legitime, mit Sprengfallen versehene Software herunter. Im Hintergrund saugt Malware (wie RedLine oder Vidar) stillschweigend in Google Chrome oder Edge gespeicherte Cookie-Datenbanken auf und sendet sie dann an einen Befehlsserver (C2).

Die Grenzen der manuellen Reaktion im Azure-Portal

Sobald der Token gestohlen wurde, importiert der Angreifer ihn in seinen eigenen Browser. Er stellt häufig eine Verbindung über ein fremdes VPN her, was in Microsoft Entra ID Protection eine Warnung „Unmögliche Reise“ oder eine Verbindung über ein anonymisiertes Netzwerk (Tor-Knoten) auslöst.

Hier beginnt der Wettlauf gegen die Zeit. Für einen herkömmlichen Systemadministrator ist die Behebung ein Hindernisparcours. Man muss sich beim Azure-Portal anmelden, zur Registerkarte „Entra ID-Benutzer“ navigieren, den gefährdeten Benutzer finden, die Option zum Widerrufen von Sitzungen finden (deren Synchronisierung einige Zeit in Anspruch nimmt) und dann manuell das Zurücksetzen seines Passworts erzwingen.

Während dieser 15 Minuten Latenz (MTTR) hatte der Angreifer bereits Zeit, E-Mail-Umleitungsregeln zu erstellen, um Rechnungen herauszufiltern oder vertrauliche Dokumente aus SharePoint herunterzuladen.

Die Lösung: 1-Klick-Sitzungswiderruf

Um einem asymmetrischen Angriff entgegenzuwirken, muss Ihre Reaktion algorithmisch sein. Der entscheidende Befehl im Microsoft Graph-Ökosystem istrevokeSignInSessions. Es macht sofort alle mit einem Konto verknüpften Aktualisierungstoken ungültig, erzwingt eine sofortige Abmeldung und zwingt alle neuen Anfragen dazu, den vollständigen Authentifizierungsprozess (Passwort + MFA) erneut zu durchlaufen.

Mit einem Response Orchestrator wieAkuity SOC, wird der Ansatz drastisch vereinfacht.

  1. JIT-Erkennung:Sobald Entra ID Protection eine Anomalie im Zusammenhang mit Token-Diebstahl erkennt, visualisiert der Analyst das Risiko auf der Registerkarte „Gefährdete Identitäten“ von Akuity, dank der Echtzeitwiederherstellung (Just-In-Time) schwacher Signale.
  2. Sofortiger Widerruf:Mit einem einzigen Klick auf die Behebungsaktion fragt die Plattform die Microsoft Graph-API ab, um den Zugriff sofort ungültig zu machen.
  3. Sicherer Reset:Dabei die AktionresetUserPasswordgeneriert ein neues sicheres Passwort, zeigt es in einem dauerhaften Modus mit einer Schaltfläche zum schnellen Kopieren zur Übertragung an den Mitarbeiter an und erfordert bei der nächsten Anmeldung eine Passwortänderung.

Diese doppelte Aktion, geschützt durch die Anforderung einer AAL2-Sitzung (Analyst MFA), ermöglicht die Neutralisierung von Token-Diebstahl in weniger als 10 Sekunden.

Lassen Sie nicht zu, dass Hacker Ihre Sitzungen ausnutzen.> Entdecken Sie, wie unser ToolIdentitätsmanagement bei Risiko Entra IDBeschleunigt Ihre Reaktion auf Vorfälle, ohne dass Agenten installiert werden müssen.

Page Solution Associée

Gefährdetes Identitätsmanagement (Entra ID)

Blockieren Sie den Entra-ID-Identitätsdiebstahl jede Sekunde. JIT-Erkennung, Sitzungswiderruf und Kompromittierungsbestätigung sind nicht möglich.

Découvrir la solution complète

Articles du même cluster

Unmögliches Reisen mit Entra ID: Analysieren und reagieren

Eine „Impossible Travel“-Warnung ist nicht immer ein Hack. Entdecken Sie, wie die JIT-Analyse von Akuity SOC dabei hilft, Risiken zu qualifizieren, ohne Ihre Benutzer zu blockieren.

Lire →

Passwort-Reset vs. Sitzungswiderruf: Der entscheidende Unterschied

Das Ändern eines Passworts reicht nicht aus, um einen bereits verbundenen Hacker zu stoppen. Erfahren Sie den technischen Unterschied zwischen dem Zurücksetzen und Widerrufen von Entra ID-Sitzungen.

Lire →

Brute-Force-Angriffe auf Azure AD: Erkennen, qualifizieren und blockieren

Täglich zielen Brute-Force-Angriffe auf Microsoft Entra ID ab. Erfahren Sie, wie Sie sie erkennen und mithilfe der Kompromittierungsbestätigung blockieren können.

Lire →

Richtlinien für bedingten Zugriff und Status eines kompromittierten Benutzers

SOAR ersetzt die Zero-Trust-Architektur nicht, sondern ermöglicht sie. Verstehen Sie, wie die Aktion „Kompromittierung bestätigen“ Ihre Entra-ID-Regeln für den bedingten Zugriff auslöst.

Lire →

JIT-Analyse (Just-In-Time): Identitätsermittlung in Echtzeit

SIEM-Protokolle sind oft veraltet. Erfahren Sie, wie Just-In-Time (JIT)-Analysen über Microsoft Graph die Reaktion auf Entra ID-Vorfälle beschleunigen.

Lire →