☁️Azure Entra IDConditional AccessIdentityConfig

Azure Bedingter Zugriff: Wie Angreifer MFA mit einem Gestohlenen Passwort Umgehen

Fehlender MFA und nicht blockierte Legacy-Authentifizierung im bedingten Azure-Zugriff ermöglichen Angreifern, alle modernen Kontrollen mit nur einem gestohlenen Passwort zu umgehen.

ES
EtcSec Security Team
2 min read
Azure Bedingter Zugriff: Wie Angreifer MFA mit einem Gestohlenen Passwort Umgehen

Was Ist Azure Bedingter Zugriff?

Der bedingte Zugriff ist die Richtlinien-Engine von Microsoft Entra ID, die steuert, wie und wann Benutzer auf Cloud-Ressourcen zugreifen können. Er handelt als Zero-Trust-Durchsetzungsschicht — wertet Signale wie Benutzeridentität, Gerätekonformität, Standort und Risikostufe aus, bevor er Zugriff gewährt oder blockiert.

Wenn der bedingte Zugriff fehlt oder falsch konfiguriert ist, entsteht die größte Angriffsfläche in jeder Microsoft 365 oder Azure-Umgebung. Ein Angreifer mit einem gestohlenen Credential kann sich von überall anmelden, auf jedem Gerät, über Legacy-Protokolle, die MFA vollständig umgehen.

Wie Es Funktioniert

Richtlinien für bedingten Zugriff folgen einer Wenn-Dann-Logik. Die kritische Lücke ist die Legacy-Authentifizierung. Protokolle wie SMTP AUTH, IMAP, POP3 und Basic Auth unterstützen kein MFA. Wenn diese Protokolle nicht blockiert werden, können alle MFA-Richtlinien durch einen Legacy-Client umgangen werden.

Die Angriffskette

Schritt 1 - Credential-Akquisition

# Passwort-Spray gegen Microsoft Online
Invoke-MSOLSpray -UserList users.txt -Password "Frühling2024!" -Verbose

Schritt 2 - MFA über Legacy-Auth Umgehen

# IMAP-Zugriff mit gestohlenen Credentials — umgeht MFA
curl -u [email protected]:password imaps://outlook.office365.com/INBOX

Schritt 3 - Pivot zu Azure-Ressourcen

Ohne risikobasierte Anmelderichtlinie kann ein erfolgreicher Login von einer fremden IP zu jeder Tages- oder Nachtzeit ohne zusätzliche Verifizierung durchgeführt werden.

Erkennung

Microsoft Entra Anmeldeprotokolle

SignalWorauf zu achten
ClientAppUsedIMAP, POP3, SMTP, Exchange ActiveSync — Legacy-Auth-Nutzung
ConditionalAccessStatusnotApplied — Anmeldungen ohne CA-Richtlinienevaluierung
RiskLevelDuringSignInhigh oder medium Anmeldungen nicht blockiert

SIEM-Erkennungsabfrage (Elastic KQL)

azure.signinlogs.properties.client_app_used: ("IMAP" OR "POP3" OR "SMTP Auth" OR "Exchange ActiveSync") AND
azure.signinlogs.properties.status.error_code: 0

💡 Tipp: Blockieren Sie Legacy-Authentifizierung BEVOR Sie MFA erfordern. Wenn Legacy-Auth nicht blockiert ist, sind MFA-Richtlinien vollständig umgehbar.

Behebung

⚠️ Kritisch: Legacy-Authentifizierung blockieren hat oberste Priorität.

1. Legacy-Authentifizierung Blockieren (Priorität 1)

Richtlinienname: Legacy-Authentifizierung blockieren
Zuweisungen:
  - Benutzer: Alle Benutzer
  - Cloud-Apps: Alle Cloud-Apps
  - Bedingungen > Client-Apps: Exchange ActiveSync, Andere Clients
Zugriffssteuerungen: Blockieren

2. MFA für Alle Benutzer Erfordern

Richtlinienname: MFA erfordern — Alle Benutzer
Zugriffssteuerungen: Mehrstufige Authentifizierung erfordern

3. Risikobasierte Anmelderichtlinien Aktivieren

Richtlinienname: Hochrisiko-Anmeldungen blockieren
Bedingungen > Anmelderisiko: Hoch
Zugriffssteuerungen: Zugriff blockieren

So Erkennt EtcSec Dies

CA_NO_MFA_REQUIREMENT erkennt Tenants ohne MFA-Erzwingung für alle Benutzer auf allen Anwendungen.

CA_NO_LEGACY_AUTH_BLOCK identifiziert Tenants ohne Blockierung von Legacy-Authentifizierungsprotokollen.

CA_NO_RISK_BASED_SIGNIN kennzeichnet Tenants ohne risikobasierte Anmelderichtlinie.

LEGACY_AUTH_ALLOWED bestätigt, dass Legacy-Authentifizierung auf Protokollebene noch aktiv ist.

ℹ️ Hinweis: EtcSec prüft Ihre gesamte Konfiguration für bedingten Zugriff bei jedem Scan. Starten Sie ein kostenloses Audit.

☁️ AzureConditional AccessIdentityConfig
EtcSec

© 2026 EtcSec. All rights reserved.

Azure Bedingter Zugriff: MFA-Bypass-Risiken | EtcSec — EtcSec Blog | EtcSec