Semperis übernimmt MightyID: Ausbau der echten Cyber-Resilienz in Multi-IdP-Umgebungen
Zurück zur Liste der Blogs

Bedrohungsforschung

Kategorien

Chatten Sie mit einem Experten

Modernisieren Sie Ihr AD

Demo anfordern

Herunterladen von Purple Knight

Kostenlose Active Directory Sicherheitsbewertung

Mehr lesen
SyncJacking: Hard-Matching-Schwachstelle ermöglicht Übernahme von Entra ID-Konten

SyncJacking: Hard-Matching-Schwachstelle ermöglicht Übernahme von Entra ID-Konten

  • Tomer Nahum
  • 13. Januar 2026

Angreifer mit bestimmten Berechtigungen können die Entra Connect-Synchronisierung missbrauchen, um synchronisierte Entra ID-Konten zu übernehmen.

nOAuth-Missbrauch – Update: Mögliche Umstellung auf Microsoft 365

nOAuth-Missbrauch – Update: Mögliche Umstellung auf Microsoft 365

  • Eric Woodruff | Leitender Identitätsarchitekt
  • 5. Januar 2026

Weitere Untersuchungen zu nOAuth zeigen, dass das Risiko eines Missbrauchs von nOAuth weiterhin besteht und dass viele Unternehmen sich dieser Schwachstelle nach wie vor nicht bewusst sind.

Ausnutzung von Ghost SPNs und Kerberos-Reflexion für SMB Server Privilegienerweiterung

Ausnutzung von Ghost SPNs und Kerberos-Reflexion für SMB Server Privilegienerweiterung

  • Andrea Pierini
  • 29. Oktober 2025

Wenn falsch konfigurierte Service Principal Names (SPNs) und Standardberechtigungen übereinstimmen, können Angreifer die Kerberos-Spiegelung ausnutzen, um aus der Ferne Zugriff auf SYSTEM-Ebene zu erhalten. Trotz des Sicherheitsupdates von Microsoft können Sie immer noch von Ghost SPNs heimgesucht werden. Erfahren Sie warum.

EntraGoat Szenario 6: Ausnutzung der zertifikatsbasierten Authentifizierung, um sich als Global Admin in Entra ID auszugeben

EntraGoat Szenario 6: Ausnutzung der zertifikatsbasierten Authentifizierung, um sich als Global Admin in Entra ID auszugeben

  • Jonathan Elkabas und Tomer Nahum

Anmerkung des Herausgebers: Dieses Szenario ist Teil einer Reihe von Beispielen, die die Verwendung von EntraGoat, unserer Entra ID-Simulationsumgebung, demonstrieren. Einen Überblick über EntraGoat und seinen Wert können Sie hier lesen. Zertifikatsumgehung - Zugriff auf das Stammverzeichnis gewährt EntraGoat-Szenario 6 beschreibt eine Technik zur Privilegienerweiterung in Microsoft Entra ID, bei der...

EntraGoat Szenario 2: Ausnutzung von App-Only Graph-Berechtigungen in Entra ID

EntraGoat Szenario 2: Ausnutzung von App-Only Graph-Berechtigungen in Entra ID

  • Jonathan Elkabas und Tomer Nahum

In unserem zweiten EntraGoat-Angriffsszenario folgen Sie den Schritten eines unvorsichtigerweise durchgesickerten Zertifikats, um das Global Admin-Passwort zu erbeuten und die Entra-ID vollständig zu kompromittieren.

EntraGoat Szenario 1: Missbrauch der Eigentumsrechte des Dienstherrn in Entra ID

EntraGoat Szenario 1: Missbrauch der Eigentumsrechte des Dienstherrn in Entra ID

  • Jonathan Elkabas und Tomer Nahum

Wie kann ein kompromittiertes Benutzerkonto mit niedrigen Privilegien die Eigentümerschaft des Dienstes ausnutzen und eine Übernahme des Entra ID-Mandanten durchführen? Finden Sie es heraus, wenn Sie in EntraGoat Szenario 1 eintauchen.

Erste Schritte mit EntraGoat: Entra ID auf die intelligente Art einführen

Erste Schritte mit EntraGoat: Entra ID auf die intelligente Art einführen

  • Jonathan Elkabas und Tomer Nahum

Sind Sie bereit, sich in EntraGoat die Hufe schmutzig zu machen? Beginnen Sie hier. Diese Schnellstart-Schritte führen Sie zu Ihrem ersten Angriffsszenario.

Was ist EntraGoat? Eine absichtlich verwundbare Entra ID-Simulationsumgebung

Was ist EntraGoat? Eine absichtlich verwundbare Entra ID-Simulationsumgebung

  • Jonathan Elkabas und Tomer Nahum

Was ist der beste Weg, um Cyber-Resilienz aufzubauen? Üben Sie! Lernen Sie EntraGoat kennen, Ihren sicheren Raum für praktisches Lernen im CTF-Stil. Verfolgen Sie Angriffspfade, spüren Sie Identitätsfehlkonfigurationen auf und decken Sie Schwachstellen in der Zugriffskontrolle auf - und bauen Sie gleichzeitig Ihre Widerstandsfähigkeit gegen reale Bedrohungen aus.