Microsofts neue Sicherheitsfunktion sperrt Hacker per GPS aus

Microsoft hat neue Funktionen für das Identitäts- und Zugriffsmanagement von Azure Active Directory entwickelt, die Unternehmen eine bessere Chance geben, ausgeklügelte Techniken abzuwehren, mit denen Hacker die Zwei-Faktor-Authentifizierung umgehen.

Der Softwareriese führt GPS-basierte benannte Standorte und Filter in seine Azure AD Conditional Access-Funktion ein, die eine Reihe von Signalen für den autorisierten Benutzerzugriff prüft.

„Die GPS-basierten benannten Standorte und Filter für Geräte ermöglichen eine Reihe neuer Szenarien, wie zum Beispiel die Einschränkung des Zugriffs aus bestimmten Ländern oder Regionen basierend auf dem GPS-Standort und die Absicherung der Nutzung von Geräten von Surface Hubs bis hin zu Workstations mit privilegiertem Zugriff“, erklärt Vasu Jakkal, Corporate Vice President  Microsoft Security, Compliance und Identity.

Microsoft Security General Manager Andrew Conway ergänzt: “Eine IP-Adresse bietet möglicherweise nicht genug Kontext, um den Standort zu validieren, von dem aus sich ein Mitarbeiter anmeldet, insbesondere wenn das Unternehmen strenge Anforderungen für eine bestimmte Anwendung oder Ressource hat“.

„In diesen strengen Zugriffsszenarien erhält ein Benutzer eine Aufforderung in der Microsoft Authenticator-App, seinen Standort zu teilen, um das Land zu bestätigen. Dies könnte über andere Richtlinien gelegt werden, wie z.B. die Forderung nach Multifaktor-Authentifizierung (MFA).“

Der jüngste Angriff von SolarWinds zeigt, wie raffiniert die Angriffe werden, um die Zwei-Faktor-Authentifizierung zu umgehen. Microsoft-Präsident Brad Smith nannte den SolarWinds-Vorfall einen Moment der Abrechnung, auch weil er die wichtigsten Cybersecurity-Unternehmen unvorbereitet traf.

Der Angriff erfolgte über ein manipuliertes Update von SolarWinds Netzwerküberwachungssoftware Orion auf Microsoft und FireEye – zwei der größten Cybersicherheitsunternehmen der Welt. Der Einbruch bei FireEye begann mit der Hintertür im SolarWinds-Update, und die Angreifer nutzten dann das anfängliche Eindringen, um an die Anmeldedaten der Mitarbeiter zu gelangen.

FireEye verlangte von seinen Mitarbeitern die Verwendung eines Zwei-Faktor-Codes für den Fernzugriff auf sein VPN, doch die Angreifer nutzten die gestohlenen Anmeldedaten, um ein zweites, nicht autorisiertes Mobilgerät eines Mitarbeiters im Zwei-Faktor-Authentifizierungssystem des Unternehmens anzumelden, woraufhin es entdeckt wurde.

Damit das neue System von Microsoft funktioniert, muss das Unternehmen seine lokale Identitätslösung mit dem Cloud-Identitätsdienst Azure AD von Microsoft verbunden haben, um die risikobasierten Funktionen von Conditional Access nutzen zu können.

Diese Ergänzungen zu Conditional Access ermöglichen es nun, bedingte Zugriffsrichtlinien auf eine Reihe von Geräten zu richten, die auf bestimmten Geräteattributen basieren, z. B. ob es sich um ein vom Unternehmen verwaltetes Gerät handelt oder ob das Gerät in einem erlaubten Bereich liegt, so Microsoft.

Conditional Access unterstützt Windows-, iOS-, macOS- und Android-Geräte, die in Azure AD angemeldet wurden.

„Wenn bestimmte Attribute als Eigenschaften für Filter für Geräte verwendet werden, muss das Gerät bestimmte Kriterien erfüllen, wie zum Beispiel, dass es vom Microsoft Endpoint Manager verwaltet wird, als konform gekennzeichnet und in Azure AD angemeldet ist“, fügt Conway hinzu.

Microsoft führt den GPS-basierten bedingten Zugriff als Teil seiner eigenen Umstellung auf hybrides Arbeiten ein, da immer mehr Impfstoffe ausgerollt werden und die Mitarbeiter an manchen Tagen ins Büro zurückkehren.

Der Schlüssel zu dieser Strategie ist sein Vorstoß für eine Zero Trust Architektur, bei der davon ausgegangen wird, dass das Unternehmen durchbrochen wurde und dass es keine Grenze zum Unternehmensnetzwerk gibt. Aber laut Microsoft haben nur 18 Prozent der eigenen Kunden die Multi-Faktor-Authentifizierung aktiviert.