Zusätzlichen Kontext in Microsoft Authenticator-Benachrichtigungen anzeigen

Microsoft Authenticator ist die offizielle mobile Microsoft-App für MFA und passwortlose Authentifizierung, die üblicherweise als Authentifizierungsmethode in Entra ID verwendet wird.

Nach einer Anforderung zur MFA oder passwortlosen Authentifizierung sendet die Anwendung eine Push-Benachrichtigung, die zusätzlichen Kontext enthalten kann, einschließlich der Zielanwendung und des Standorts des Login-Versuchs (von Microsoft aus der IP-Adresse abgeleitet). Dies hilft Benutzern zu erkennen, ob die Aufforderung legitim oder ein bösartiger Angriff ist.

Dieser Indicator of Exposure (IoE) überprüft die folgenden Einstellungen:

• „Anwendungsnamen in Push- und kennwortlosen Benachrichtigungen anzeigen“
• „Geografischen Standort in Push-Benachrichtigungen und kennwortlosen Benachrichtigungen anzeigen“

Der erwartete sichere Wert für beide Einstellungen ist „Aktiviert“. Ein mittlerer Wert, „Von Microsoft verwaltet“ (Standardeinstellung in der Graph-API), ermöglicht es Microsoft, den genauen Wert auf Basis der sich entwickelnden Landschaft von Sicherheitsbedrohungen zu definieren. Bei Einführung dieses IoE Ende 2024 wurden diese Einstellungen von Microsoft jedoch auf „Deaktiviert“ festgelegt. Folglich betrachtet dieser IoE „Von Microsoft verwaltet“ nicht standardmäßig als sicher (Sie können dieses Verhalten jedoch über einen Parameter anpassen).

Diese Funktion ist besonders wirksam gegen MFA-Müdigkeitsangriffe, bei denen Angreifer die Opfer mit Benachrichtigungen bombardieren, bis sie schließlich eine genehmigen. Der zusätzliche Kontext schärft die Aufmerksamkeit der Benutzer und erhöht die Wahrscheinlichkeit, dass bösartige Versuche erkannt und abgewiesen werden.

Tenable empfiehlt, diese beiden Einstellungen der Microsoft Authenticator-Authentifizierungsmethode auf den Status „Aktiviert“ festzulegen:

• „Anwendungsnamen in Push- und kennwortlosen Benachrichtigungen anzeigen“
• „Geografischen Standort in Push-Benachrichtigungen und kennwortlosen Benachrichtigungen anzeigen“

Einzelheiten dazu, wie diese zusätzlichen Kontexte angezeigt werden, und Anweisungen zu ihrer Aktivierung mit verschiedenen Methoden finden Sie in der Microsoft-Dokumentation: Verwendung von zusätzlichem Kontext in Benachrichtigungen zu Microsoft Authenticator-Benachrichtigungen – Richtlinie zu Authentifizierungsmethoden.

Wie in der Schwachstellenbeschreibung angegeben, raten wir von der Verwendung des Status „Von Microsoft verwaltet“ (Standardeinstellung in der Graph-API) ab, da er derzeit dem Status „Deaktiviert“ entspricht (Stand: Ende 2024).

Bei Bedarf können Sie diese Konfigurationen global auf „Aktiviert“ festlegen und dabei die „Zielgruppe(n)“ mit den Einstellungen „Einschließen“ und „Ausschließen“ angeben. Tenable empfiehlt, diese Einstellungen auf alle Benutzer anzuwenden, indem Sie die Option „Einschließen“ mit der Option „Alle Benutzer“ verwenden.

Name: Zusätzlichen Kontext in Microsoft Authenticator-Benachrichtigungen anzeigen

Codename: SHOW-ADDITIONAL-CONTEXT-IN-MICROSOFT-AUTHENTICATOR-NOTIFICATIONS

Schweregrad: Medium

Typ: Microsoft Entra ID Indicator of Exposure