Kritische Schwachstelle in Microsoft Entra ID: So umgingen Angreifer den kompletten Conditional Access

Am 22. Juni 2026 veröffentlichte NetSPI-Forscher Thomas Byrne eine Sicherheitslücke im Nested App Authentication (NAA)-Framework von Microsoft Entra ID – auch BroCI genannt. Die Schwachstelle erlaubte es Angreifern, sämtliche Conditional Access Policies (CAP) zu umgehen, darunter MFA-Anforderungen, Geräte-Compliance-Prüfungen und standortbasierte Kontrollen . Microsoft schloss die Lücke server-seitig und stufte sie als mittelschwer ein.

Die Schwachstelle: NAA als Einfallstor für Richtlinienumgehung

Nested App Authentication ist Microsofts eigener OAuth-Single-Sign-On-Mechanismus (SSO). Er erlaubt es einer "Host"-Anwendung, wie dem Azure-Portal, im Hintergrund Token für verschachtelte Unteranwendungen auszutauschen, ohne den Benutzer erneut zur Eingabe von Anmeldedaten aufzufordern . Dabei werden spezielle Parameter (brk_client_id, brk_redirect_uri) in OAuth-Token-Anfragen an login.microsoftonline.com eingebettet .

Byrne entdeckte einen kritischen Fehler in diesem Mechanismus. Betroffen waren Abläufe, bei denen der ADIbizaUX-Client – die IAM-Verwaltungskomponente des Azure-Portals – ein zwischengespeichertes Azure-Portal-Refresh-Token nutzte, um ein Zugriffstoken für die Microsoft Graph API anzufordern . Bei normalen Refresh-Token-Austauschen wird die Conditional Access-Richtlinie ausgewertet. NetSPI fand jedoch heraus, dass diese Auswertung im NAA-Flow mit ADIbizaUX gegen die Microsoft Graph-Ressource vollständig unterblieb . Zwei weitere Microsoft Intune Portal-Erweiterungs-Client-IDs zeigten dasselbe Fehlverhalten .

Angriffsszenario: Post-Compromise-Persistenz ohne Spuren

Der Angriff setzte ein gestohlenes Azure-Portal-Refresh-Token voraus, war aber als Methode zur Persistenz und laterale Bewegung nach einem Erstzugriff hochwirksam . Das Szenario lief in vier Schritten ab:

1. Erstkompromittierung: Der Angreifer stiehlt ein gültiges Azure-Portal-Refresh-Token, etwa durch Phishing, Adversary-in-the-Middle (AITM)-Proxy-Angriffe oder andere Token-Diebstahlmethoden .
2. Token-Brokering via NAA: Mit dem gestohlenen Token nutzt der Angreifer den NAA-Flow (über ADIbizaUX oder die Intune-Erweiterungen), um es still gegen ein Microsoft-Graph-Zugriffstoken auszutauschen .
3. Umgehung aller Kontrollen: Das Graph-Token wird ohne jegliche Auswertung der Conditional Access Policies ausgestellt – keine MFA-Abfrage, keine Geräteprüfung, keine Standortbeschränkung, selbst wenn diese Richtlinien explizit konfiguriert waren .
4. Persistenz und laterale Bewegung: ADIbizaUX verfügt über weitreichende, vorab genehmigte Graph-Berechtigungen und stellt undokumentierte APIs zur Verwaltung von Benutzern, Gruppen, Dienstprinzipalen, Anwendungen, Verzeichnissen und sogar Conditional Access Policies bereit – alles ohne Logging, sodass die Aktionen völlig unbemerkt blieben .

Einschränkungen: Das gestohlene Azure-Portal-Refresh-Token hat eine festgelegte Lebensdauer von 24 Stunden und ist nicht verlängerbar, was das Persistenzfenster begrenzt . Der Angreifer musste bereits im Besitz eines Opfer-Refresh-Tokens sein – es handelte sich also um eine Post-Compromise-Eskalations- und Persistenztaktik, nicht um eine Remote-Code-Ausführung . Dennoch wurde die Lücke vom Microsoft Security Response Center (MSRC) als mittelschwer eingestuft .

Microsofts Reaktion: Server-seitiger Fix ohne CVE

NetSPI meldete das Problem am 17. März 2026 an das MSRC . Das MSRC stufte es als mittelschwere Schwachstelle ein und stellte einen server-seitigen Fix bereit. Nach dem Patch erzeugen die zuvor erfolgreichen NAA-Abläufe nun korrekt den Fehlercode AADSTS53003, wenn eine Conditional Access Policy greift . Microsoft vergab für diese spezifische Lücke keine CVE-Nummer; der Fix erforderte kein Kundenhandeln .

Im weiteren Kontext: Zwei Conditional-Access-Lücken am selben Tag

Am 22. Juni 2026 wurden zeitgleich zwei separate Methoden zur Umgehung von Entra Conditional Access veröffentlicht :

Fund	Quelle	Mechanismus	Microsofts Reaktion
NAA / BroCI-Bypass	NetSPI (Thomas Byrne)	Missbrauch des Nested App Authentication-Token-Brokerings über ADIbizaUX und Intune-Portal-Erweiterungen	MSRC-Fix (mittelschwer); gibt nun AADSTS53003 zurück
Ressourcenausschluss-Bypass	Dirk-jan Molenaar (dirkjanm.io)	Richtlinien, die auf "Alle Ressourcen" abzielen und mindestens eine ausgeschlossene Ressource haben, konnten für Graph-Tokens mit Basis-OIDC/Directory-Bereichen umgangen werden	Microsoft bestätigte den Fehler und begann ab dem 15. Juni 2026 mit der Durchsetzung von Basis-Bereichen; früher Opt-in über das Entra Admin Center

Microsofts umfassendere Änderungen bei der Durchsetzung von Conditional Access 2026

Neben der Behebung des NAA-Bypasses hat Microsoft im Laufe des Jahres 2026 schrittweise weitere Lücken in der Durchsetzung von Conditional Access geschlossen:

• 27. März 2026 – Juni 2026 (stufenweise): Microsoft änderte die Durchsetzung von CA-Richtlinien, die auf "Alle Ressourcen" abzielen, wenn diese Richtlinien Ressourcenausschlüsse enthalten. Bisher konnten Anmeldungen, die nur Basis-OIDC-Bereiche anforderten (z. B. openid, profile, User.Read), die Conditional Access vollständig umgehen, sofern eine Richtlinie einen Ressourcenausschluss hatte. Die Änderung stellt sicher, dass Richtlinien mit Ausschlüssen dennoch gegen den Bereich "Alle Ressourcen" ausgewertet werden . Microsoft informierte betroffene Mandanten über den Message Center-Eintrag MC1223829 .

• 15. Juni 2026: Microsoft begann mit der Durchsetzung der Basis-Bereichsauswertung speziell für den Ressourcenausschluss-Bypass und schloss damit die von Dirk-jan Molenaar aufgezeigte Graph-Token-Umgehung .

• 31. März 2026: Microsoft setzte die Abschaffung der Authentifizierung ohne Dienstprinzipal für Nicht-Microsoft-Mandantenanwendungen durch. Alle Anwendungen müssen sich mit einem registrierten Dienstprinzipal authentifizieren; andernfalls schlagen Anmeldeversuche fehl .

• Juni 2026: Microsoft kündigte breitere Entra-ID-Sicherheitsupdates an, darunter die Ersetzung von benutzerdefinierten Steuerelementen durch externe MFA, die konsequente Durchsetzung von Conditional Access bei der Anmeldung von Anmeldeinformationen und die Anforderung explizit registrierter Authentifizierungsmethoden für die Self-Service-Passwortzurücksetzung (SSPR) .

Wichtigste Erkenntnisse für Admins

• Der NAA-Bypass wurde server-seitig behoben. Für den spezifischen NetSPI-Fund ist kein kundenseitiges Handeln erforderlich .
• Aktivieren Sie für den Ressourcenausschluss-Bypass die Option zur Basis-Bereichsauswertung im Entra Admin Center, um eine ordnungsgemäße CA-Prüfung sicherzustellen .
• Überwachen Sie auf den Fehlercode AADSTS53003, der nun korrekt unbefugte NAA-basierte Token-Austausche blockiert .
• Die undokumentierten ADIbizaUX-APIs, die ohne Logging auskommen, bleiben ein Risiko – Organisationen sollten die Anmeldeprotokolle des Azure-Portals und Token-Ausstellungsmuster genau überwachen .
• Mit der zum 31. März 2026 abgeschafften Authentifizierung ohne Dienstprinzipal sollten alle Multi-Tenant-Apps über registrierte Dienstprinzipale verfügen .