Name | Beschreibung | Schweregrad |
---|---|---|
Privilegiertes Entra-Konto mit AD synchronisiert (Hybrid) | Hybridkonten (d. h. aus Active Directory synchronisierte Konten) mit privilegierten Rollen in Entra ID stellen ein Sicherheitsrisiko dar, weil sie es Angreifern, die AD kompromittieren, ermöglichen, auch Entra ID anzugreifen. Privilegierte Konten in Entra ID müssen reine Cloudkonten sein. | High |
Erstanbieter-Dienstprinzipal mit Anmeldeinformationen | Erstanbieter-Dienstprinzipale haben starke Berechtigungen, die übersehen werden, da sie verborgen, im Besitz von Microsoft und zahlreich sind. Angreifer fügen ihnen Anmeldeinformationen hinzu, um ihre Berechtigungen unbemerkt für Rechteausweitung und Persistenz zu nutzen. | High |
Bekannte Verbunddomänen-Backdoor | In Microsoft Entra ID ist die Delegierung der Authentifizierung an einen anderen Anbieter über einen Verbund möglich. Angreifer, die erhöhte Rechte erlangt haben, können diese Funktion jedoch missbrauchen, indem sie ihre bösartige Verbunddomäne hinzufügen und so Persistenz und Rechteausweitung ermöglichen. | Critical |
Gefährliche API-Berechtigungen, die den Mandanten betreffen | Microsoft macht APIs in Microsoft Entra ID verfügbar, um Drittanbieter-Anwendungen die Ausführung von Aktionen für Microsoft-Dienste zu erlauben. Bestimmte Berechtigungen können eine ernste Gefahr für den gesamten Microsoft Entra-Mandanten darstellen. Daher muss die Zuweisung dieser Berechtigungen sorgfältig geprüft werden. | High |
Fehlende MFA für nicht-privilegiertes Konto | MFA bietet starken Schutz von Konten vor schwachen oder gehackten Passwörtern. Best Practices und Standards für Sicherheit empfehlen die Aktivierung von MFA, selbst für nicht-privilegierte Konten. Konten ohne registrierte MFA-Methode können nicht von ihr profitieren. | Medium |