☁️Azure Entra IDIdentityConfigPrivileged Access

Azure Identitätssicherheit: Warum MFA Allein Nicht Ausreicht

Admin-Konten ohne MFA und deaktivierte Security Defaults sind die am häufigsten ausgenutzten Azure-Identitäts-Fehlkonfigurationen. Lernen Sie wie Phishing MFA umgeht und wie Sie phishing-resistente Authentifizierung erzwingen.

ES
EtcSec Security Team
2 min read
Azure Identitätssicherheit: Warum MFA Allein Nicht Ausreicht

Was Ist Azure Identitätssicherheit?

Azure Entra ID ist das Identitäts-Backbone für Microsoft 365 und Azure. Die zwei kritischsten Azure-Identitäts-Fehlkonfigurationen sind MFA nicht für Administratoren erzwungen und Security Defaults deaktiviert — beide trivial ausnutzbar mit handelsüblichen Phishing-Kits.

MFA erfordert einen zweiten Faktor zusätzlich zum Passwort. Security Defaults sind Microsofts Baseline-Sicherheitseinstellungen für Entra ID — sie aktivieren MFA für Admins, blockieren Legacy-Authentifizierung und erfordern MFA für riskante Anmeldungen. Kostenlos, per Knopfdruck aktiviert.

Die Angriffskette

Schritt 1 - Admin-Konten ohne MFA Identifizieren

Connect-MgGraph -Scopes "Directory.Read.All", "UserAuthenticationMethod.Read.All"
$adminRoleIds = (Get-MgDirectoryRole | Where-Object DisplayName -match "Admin").Id
foreach ($roleId in $adminRoleIds) {
    Get-MgDirectoryRoleMember -DirectoryRoleId $roleId | ForEach-Object {
        $methoden = Get-MgUserAuthenticationMethod -UserId $_.Id
        if ($methoden.Count -le 1) {
            [PSCustomObject]@{Benutzer=$_.AdditionalProperties.userPrincipalName; MFA=$methoden.Count}
        }
    }
}

Schritt 2 - AiTM Phishing des Admin-Kontos

Angreifer verwenden Adversary-in-the-Middle (AiTM)-Phishing-Proxies wie Evilginx2, um nicht nur das Passwort, sondern auch das Session-Cookie abzufangen — und umgehen damit sogar MFA-geschützte Konten.

Schritt 3 - Backdoor-Konto Erstellen

New-MgUser -DisplayName "IT Support" -UserPrincipalName "[email protected]" `
    -PasswordProfile @{Password="BackdoorP@ss123!"} -AccountEnabled $true

Behebung

⚠️ Kritisch: Security Defaults oder Bedingter Zugriff MFA sofort aktivieren.

Option 1: Security Defaults Aktivieren (Keine Lizenz Erforderlich)

Entra ID > Eigenschaften > Security Defaults verwalten > Security Defaults aktivieren = Ja

Option 2: Bedingter Zugriff MFA (Empfohlen für P1/P2)

Richtlinie: MFA für alle Admins erfordern
Benutzer: Verzeichnisrolle = Globaler Administrator usw.
Steuerungen: MFA + Konformes Gerät erfordern

Phishing-Resistentes MFA für Admins Erzwingen

Entra ID > Authentifizierungsmethoden > FIDO2-Sicherheitsschlüssel = Aktiviert
Bedingter Zugriff: Authentifizierungsstärke = Phishing-resistentes MFA

So Erkennt EtcSec Dies

MFA_NOT_ENFORCED_ADMINS identifiziert Admin-Konten ohne registrierte MFA-Methoden.

AZ_SECURITY_DEFAULTS_DISABLED kennzeichnet Tenants, bei denen Security Defaults deaktiviert sind und keine äquivalenten CA-Richtlinien konfiguriert wurden.

ℹ️ Hinweis: EtcSec prüft Azure-Identitätskontrollen automatisch. Starten Sie ein kostenloses Audit.

☁️ AzureIdentityConfigPrivileged Access
EtcSec

© 2026 EtcSec. All rights reserved.

Azure Identitätssicherheit: MFA und Security Defaults | EtcSec — EtcSec Blog | EtcSec