Azure-Lücke: Prüfen Sie die Konfiguration Ihres Azure AD

Azure-Lücke: Prüfen Sie die Konfiguration Ihres Azure AD

Uwe Gempp
Uwe Gempp

Kürzlich wurde eine schwerwiegende Sicherheitslücke aufgrund einer Fehlkonfiguration im Azure Active Directory von Microsoft entdeckt. HIN Mitglieder sollten die eigene Umgebung absichern und Schutzmassnahmen ergreifen.

Microsofts Azure Active Directory (AAD) bietet Administratoren und Entwicklern eine einfache Authentifizierung von Nutzern und Single-Sign-on-Funktionen. Es erlaubt auch die Authentifizierung von Nutzern ausserhalb der eigenen Organisation, was für öffentliche Webanwendungen von Vorteil sein kann. Wenn jedoch diese «multi-tenancy» aktiviert wird, kann dies zu Sicherheitsrisiken führen. Microsoft ist nun selbst Opfer eines solchen Angriffs geworden, wie «heise online» berichtet. Über manipulierte Suchergebnisse in der Suchmaschine «Bing» konnte ein Sicherheitsforscher eigene Ergebnisse ganz oben in der Liste platzieren und mit Schadcode versehen. Der hätte dann zum Beispiel Zugangscookies von angemeldeten Office365-Kunden stehlen können. Microsoft hat schnell reagiert und einen Hotfix bereitgestellt.Falls Sie in Ihrem Unternehmen AAD einsetzen, empfehlen wir Ihnen, den ausführlichen Blogartikel der Entdecker zu lesen, in dem auch darauf eingegangen wird, wie man die eigene Umgebung absichert.

Weitere Informationen

 
Uwe Gempp
Autor: Uwe Gempp - CSO & IT-Architekt

Als Experte für IT-Sicherheit informiere ich Sie über aktuelle Herausforderungen im Netz. Zudem verrate ich Ihnen, wie Sie sich einfach vor Cybergefahren schützen können und erkläre Begriffe und Zusammenhänge rund um das Thema Informationssicherheit. Lernen Sie mit mir, wie wir die digitale Welt im Gesundheitswesen gemeinsam ein Stück sicherer machen können.

 

Uwe Gempp hat bis Dezember 2023 als CSO & IT-Architekt bei HIN gearbeitet. Seine Beiträge bleiben im HIN Blog erhalten.

Expertise
Bereits mit meinem Studium der Wirtschaftsinformatik war mir der praktische Nutzen der Informatik sehr wichtig. Im Laufe der Zeit wurden IT-Systeme immer vernetzter und komplexer, so gewann die IT-Sicherheit an Wichtigkeit. Ich verfüge über 25 Jahre Erfahrung in diversen Rollen in der Informatik, davon über 15 Jahre im Bereich Security Engineering, und arbeite seit Anfang 2022 als Security Officer bei HIN. In dieser Rolle prüfe ich unsere Prozesse, unsere Infrastruktur und unsere Systeme auf Schwachstellen und Risiken und definiere Schutzmassnahmen für HIN sowie ihre Kunden und Partner.

Ganz persönlich
In meiner Freizeit treibe ich gerne Sport, arbeite im Garten oder setze eigene Maker-Projekte um. Bei sportlichen Aktivitäten kann ich hervorragend meinen Kopf auslüften, im Winter beim Skifahren und bei wärmerem Wetter beim Segeln, Radfahren, Wandern oder beim Tauchen in den Ferien. Auch bei Ausflügen mit meiner Familie oder mit Freunden kann ich prima entspannen. Die Maker-Projekte geben mir die Möglichkeit, die virtuelle ICT-Welt mit der realen Welt zusammenzubringen: Mit 3D-Drucker, Holz-Fräsen und Raspberry Pi lassen sich viele interessante Projekte im Haus und Garten verwirklichen.

 

Weitere Artikel von Weitere Artikel von Uwe Gempp

Vertrauen-gewinnen-dank-sicherer-patientendaten
Datenschutz & Security

IT-Grundschutz: Vertrauen gewinnen dank sicheren Patientendaten

HIN und die Zukunft der sicheren Zusammenarbeit im Gesundheitswesen
HintergrundE-Health
Daniel HuserDaniel Huser

HIN und die Zukunft der sicheren Zusammenarbeit im Gesundheitswesen

HIN Geschäftsbericht 2023: Sicherheit und Fortschritt Hand in Hand
HintergrundTeam HIN
Philipp SennPhilipp Senn

HIN Geschäftsbericht 2023: Sicherheit und Fortschritt Hand in Hand

Sichere Praxis-IT: Schon einfache Ansätze helfen für den Schutz Ihrer Daten
Datenschutz & Security
Daniel HuserDaniel Huser

Sichere Praxis-IT: Schon einfache Ansätze helfen für den Schutz Ihrer Daten