Produktneuheiten und Updates im Juli
Die Sommerpause ist traditionell eine ruhigere Zeit für viele Unternehmen – doch leider machen Cyberkriminelle keine Ferien. Ganz im Gegenteil: Sie nutzen oft genau diese entspannteren Zeiten, wenn Teams im Urlaub sind und die Aufmerksamkeit nachlässt, für ihre Angriffe.
Damit Sie auch bei 30 Grad im Schatten einen kühlen Kopf bewahren können, haben wir SEC AUDITOR mit wichtigen Updates ausgestattet, die neue Bedrohungen erkennen und Sie rechtzeitig warnen.
Neue Sicherheitsprüfungen
Mit der aktuellen Version werden folgende zusätzliche Sicherheitsprobleme im Active Directory überprüft:
Externer Benutzer mit dauerhaften, erhöhten Entra-Privilegien
Kritikalität: Hoch
Diese Schwachstelle identifiziert externe Benutzer (Guest Users) mit permanenten Zuweisungen zu hochprivilegierten Entra ID-Rollen, die als „Control Plane“ (Tier 0) klassifiziert sind. Das Control Plane umfasst Rollen mit umfassenden Verwaltungsberechtigungen über die gesamte Identitätsinfrastruktur. Externe Benutzer mit solchen permanenten Zuweisungen stellen ein erhebliches Sicherheitsrisiko dar, da sie außerhalb der Kontrolle der Organisation stehen und nicht den gleichen Governance-Mechanismen unterliegen wie interne Benutzer.
Hybrider Benutzer mit dauerhaften, erhöhten Entra-Privilegien
Kritikalität: Hoch
Die Zuweisung permanenter Control Plane/Tier0-Rollen an Hybrid-User in Microsoft Entra ID stellt eine kritische Sicherheitslücke dar, die On-Premises-Kompromittierungen direkt in vollständige Cloud-Übernahmen verwandeln kann. Diese Fehlkonfiguration entsteht durch die erweiterte Angriffsfläche von Hybrid-Identitäten, die sowohl On-Premises- als auch Cloud-Angriffsvektoren ausgesetzt sind. Microsoft empfiehlt ausschließlich Cloud-Only-Konten für alle Control Plane-Rollen zu verwenden.
Synchronisation privilegierter OnPrem-Konten
Kritikalität: Hoch
Microsoft Entra Connect und Entra Cloud Sync filtern standardmäßig hochprivilegierte Active Directory-Objekte wie Domain Admins und Enterprise Admins aus der Synchronisation mit der Cloud. Diese Standardkonfiguration ist eine wichtige Sicherheitsmaßnahme, die verhindert, dass Angreifer von der Cloud aus privilegierte On-Premises-Konten kompromittieren können.
Werden diese Filter entfernt oder umgangen, entsteht ein erhebliches Sicherheitsrisiko: Angreifer können über kompromittierte Cloud-Accounts auf privilegierte On-Premises-Konten zugreifen und somit die gesamte lokale Infrastruktur übernehmen.
Conditional Access: Keine Gerätecompliance
Kritikalität: Mittel
Conditional Access-Richtlinien mit Gerätecompliance sind ein wichtiger Sicherheitsmechanismus, der sicherstellt, dass nur vertrauenswürdige und ordnungsgemäß konfigurierte Geräte auf Unternehmensressourcen zugreifen können. Wenn diese Richtlinien fehlen, können Benutzer von jedem beliebigen Gerät aus auf Microsoft 365 und andere Cloud-Dienste zugreifen – unabhängig davon, ob das Gerät den Sicherheitsanforderungen des Unternehmens entspricht.
Sicherheitsstandards sollten in Entra aktiviert sein
Kritikalität: Mittel
Sicherheitsstandards erleichtern es Ihnen, Ihre Organisation vor identitätsbezogenen Angriffen wie Kennwortspray- und Replay-Angriffen sowie Phishing zu schützen, die in heutigen Umgebungen gängig sind.
Nur ein globaler Administrator (Entra ID)
Kritikalität: Niedrig
Für den Fall, dass ein Administrator nicht in der Lage ist, seine Aufgaben zu erledigen, ist es hilfreich, mehr als einen globalen Administrator zu haben.
Neue Angriffserkennungen
Neue privilegierte Rolle wurde zugewiesen (Entra ID)
Objekt wurde einer privilegierten Entra Rolle hinzugefügt.
Verbesserungen & Fehlerbehebungen
- [Dashboard] Detailbeschreibungen zu Angriffen sind nun im Dashboard verlinkt
- [Dashboard] Filter für OnPrem und Entra Indikatoren
- [Dashboard] Hinweis, seit wann die Indikatoren geprüft werden