![\"Stop](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/06\/Stop01.jpg\" "\\"Stop")
<\/p>\n<\/p>\n
[English]Works as designed, oder doch etwas gr\u00f6\u00dferer GAU? Administratoren sollen Ger\u00e4te \u00fcber Microsoft Intune verwalten k\u00f6nnen. Die Pr\u00fcfung der Ger\u00e4te-Compliance in Microsoft 365 l\u00e4sst sich aber in Intune umgehen. Nachdem sich in den letzten Wochen bereits Angriffe angedeutet haben, sind sie dank frei verf\u00fcgbarer Werkzeuge nun ein Kinderspiel. Das Tool TokenSmith von JumpsecLabs zur Ausf\u00fchrung der Angriffe ist auf GitHub verf\u00fcgbar. Angreifer k\u00f6nnten Tokens klauen und f\u00fcr Zugriff auf die Unternehmensressource missbrauchen.<\/p>\n
<\/p>\n
Microsoft Intune erm\u00f6glicht Administratoren Konformit\u00e4tsrichtlinien f\u00fcr verwaltet Ger\u00e4te zu erstellen. Konformit\u00e4tsrichtlinien sind S\u00e4tze von Regeln und Bedingungen, die zum Auswerten der Konfiguration verwalteter Ger\u00e4te verwenden. Microsoft meint, diese Richtlinien k\u00f6nnen helfen, Organisationsdaten und -ressourcen von Ger\u00e4ten zu sch\u00fctzen, die diese Konfigurationsanforderungen nicht erf\u00fcllen. Verwaltete Ger\u00e4te m\u00fcssen die Bedingungen erf\u00fcllen, die Sie in Ihren Richtlinien festlegen, damit sie von Intune als konform eingestuft werden.<\/p>\n
Administratoren, die die Konformit\u00e4tsergebnisse aus Richtlinien in Microsoft Entra\u00a0 f\u00fcr einen bedingten Zugriff integrieren, k\u00f6nnen von einer zus\u00e4tzlichen Sicherheitsebene profitieren, wirbt Microsoft. Der bedingte Zugriff kann Microsoft Entra Zugriffssteuerungen erzwingen, die auf aktuellen Status eines Ger\u00e4ts basieren, um sicherzustellen, dass nur kompatible Ger\u00e4te auf Unternehmensressourcen zugreifen d\u00fcrfen. So weit die Ausf\u00fchrungen Microsofts, die beispielsweise im Beitrag hier<\/a> nachlesbar sind.<\/p>\n Andy Wendel<\/a> hat mich in einer privaten Nachricht auf einen LinkedIn-Post<\/a> von Christian Biehler aufmerksam gemacht (danke daf\u00fcr). Die kurze und knackige Botschaft lautet, dass sich die\u00a0Pr\u00fcfung der Ger\u00e4te-Compliance in Microsoft 365 \u00fcber Microsofts Intune umgehen l\u00e4sst.<\/p>\n Biehler schreibt, dass sich in den letzten Wochen bereits Angriffe angedeutet haben. Nun gibt es frei verf\u00fcgbarer Werkzeuge f\u00fcr dieses Szenario. TokenSmith<\/a> hei\u00dft das Tool von JumpsecLabs und ist auf GitHub verf\u00fcgbar.<\/p>\n TokenSmith generiert Entra ID-Zugangs- und Aktualisierungs-Tokens f\u00fcr \"offensive\" Eins\u00e4tze, in denen Angriffe simuliert werden. Das Tool eignet sich sowohl f\u00fcr verdeckte Angreifersimulationen als auch f\u00fcr Penetrationstests. Die generierten Token funktionieren sofort mit vielen g\u00e4ngigen Azure Post Exploitation Tools, schreibt der Entwickler.<\/p>\n Biehler meint, dass sich mit Hilfe des Tools g\u00e4ngige Conditional Access Regeln zur Ger\u00e4tecompliance umgehen lassen und erg\u00e4nzt: \"Works as designed\". Denn die Umgehung gelingt \u00fcber die Intune-Portal \/ Unternehmensportal-App im Tenant, welche zur Registrierung der Ger\u00e4te ben\u00f6tigt wird.<\/p>\n Das Problem: Ist ein Ger\u00e4t nicht bekannt, kann es nicht compliant sein. Also muss das Intune-Portal die Compliance-Pr\u00fcfungen umgehen k\u00f6nnen. Und genau dies l\u00e4sst sich f\u00fcr Angriffe missbrauchen. \u00dcber die Graph-API lassen sich mit den geklauten Tokens und bekannten Tools wie GraphRunner anschlie\u00dfend alle g\u00e4ngigen Angriffe auf den Tenant durchf\u00fchren, schreibt Biehler. Es wird lediglich ein g\u00fcltiger Zugang (per Phishing, PW-Spray etc.) ben\u00f6tigt.<\/p>\n Christian Biehler hat das gesamte Thema samt den damit verbundenen Problemen zum 28. Dezember 2024 im Beitrag Microsoft 365 \u2013 Ger\u00e4te-Compliance-Bypass<\/a> aufbereitet und zusammen gefasst. Die Abwehr von Angriffen umschreibt er als \"schwierig\". Vielleicht f\u00fcr den einen oder anderen Intune-Administrator von Interesse.<\/p>\n","protected":false},"excerpt":{"rendered":" [English]Works as designed, oder doch etwas gr\u00f6\u00dferer GAU? Administratoren sollen Ger\u00e4te \u00fcber Microsoft Intune verwalten k\u00f6nnen. Die Pr\u00fcfung der Ger\u00e4te-Compliance in Microsoft 365 l\u00e4sst sich aber in Intune umgehen. Nachdem sich in den letzten Wochen bereits Angriffe angedeutet haben, sind … Weiterlesen Microsoft 365 Ger\u00e4te-Compliance umgehen<\/h2>\n