Device Code Authentifizierung – eine unterschätzte Gefahr?
Device Code Authentifizierung ist eine wenig bekannte Authentifizierungsmethode in Microsoft Entra ID. Obwohl sie speziell für Situationen entwickelt wurde, in denen moderne Authentifizierung mit MFA nicht möglich ist, sollten Administratoren die damit verbundenen Risiken kennen. Wer sich mit den Gefahren dieser Methode auseinandersetzt, kann gezielt dazu beitragen, die Resilienz der IT-Umgebung zu verbessern und Angriffe frühzeitig zu erkennen.
Was steckt hinter Device Code Authentifizierung?
Der Device Code Flow wurde entwickelt, damit sich Nutzer in Situationen anmelden können, in denen die Eingabe von Passwörtern oder MFA-Codes nicht möglich ist. Das betrifft beispielsweise spezielle Smart Office Hardware oder Kommandozeilen-Anwendungen.
In solchen Fällen erscheint ein achtstelliger Code, den der Anwender auf einem anderen Gerät eingibt, um die Device Code Authentifizierung abzuschließen. Sobald dies erfolgreich war, wird ein Token für die ursprüngliche Sitzung ausgestellt, sodass der Zugriff auf Unternehmensressourcen möglich ist.
Risiken der Device Code Authentifizierung
Da die Authentifizierung nicht auf dem ursprünglichen Gerät erfolgt, besteht ein hohes Potenzial für Phishing-Angriffe. Wenn es einem Angreifer gelingt, einen Anwender dazu zu bringen, den Device Code auf einem legitimen Gerät zu authentifizieren, kann der Angreifer mit einem validen Anmeldetoken im Kontext des Anwenders zugreifen und somit zum Beispiel Mails, SharePoint-Dateien oder Teams-Nachrichten lesen und versenden.
Was empfiehlt Microsoft bei Device Code Authentifizierung?
Microsoft weist in einem eigenen Blogartikel ausdrücklich auf die Risiken der Device Code Authentifizierung hin. Um Unternehmen vor Angriffen zu schützen, hat Microsoft eine Conditional Access Richtlinie eingeführt, die dieses Verfahren unterbindet.
Zum Artikel: https://learn.microsoft.com/en-us/entra/identity/conditional-access/managed-policies
Damit Sie als Administrator tatsächlich von diesem Schutz profitieren, müssen Sie die Richtlinie selbst aktivieren und an die Anforderungen Ihres Unternehmens anpassen. Nur so stellen Sie sicher, dass unsichere Authentifizierungsmethoden wie Device Code nicht zur Schwachstelle werden.
Unser Security-Test zeigt: Angriffe über Device Code bleiben oft unerkannt
Wir bei Net at Work beleuchten solche Risiken regelmäßig in internen Purple-Team-Trainings. Dabei nutzen wir gezielt Schwachstellen aus, um sowohl die Sichtweise des Angreifers zu verstehen als auch die Verteidigungsmöglichkeiten zu verbessern.
In unserem letzten Training haben wir eine eigens erstellte Phishing-Seite eingesetzt, um per Device Code einen validen Refresh-Token zu erhalten. So war es den vermeintlichen Angreifern möglich, mit einem validen Refresh-Token unerkannt und langfristig Zugriff auf Office 365 zu erhalten. Da es sich um eine legitime Session handelte, wurde keine Erkennung ausgelöst und die Mitarbeiter des Net at Work SOC (Security Operations Center) mussten aktiv werden, um den Angriff zu erkennen und zu unterbinden.
Das Riskante an der Device Code Authentifizierung ist, dass sie die tatsächliche Microsoft Anmeldeseite verwendet und somit mit üblichen Phishing-Indikatoren für einen normalen Anwender kaum zu erkennen ist. Durch ein abgestimmtes Conditional Access Regelwerk, das konsequent die Zero Trust Philosophie umsetzt, können Angriffe dieser Art verhindert werden, indem angreifbare Authentifizierungsverfahren wie Device Code eingeschränkt werden.
Fazit:
Device Code Authentifizierung birgt Risiken, mit denen sich Administratoren auseinandersetzen sollten. Wer die Methode einsetzt, sollte die Gefahren kennen und geeignete Schutzmaßnahmen ergreifen.
Jetzt kostenfreie Erstberatung buchen!
Kontaktieren Sie unseren Vertrieb und vereinbaren Sie einen Security Workshop, um mehr über die Sicherheitslösungen von Microsoft zu erfahren!
Weitere News zu diesem Thema
