Tenable Identity Exposure – Versionshinweise 2025
Diese Versionshinweise sind in umgekehrter chronologischer Reihenfolge aufgelistet.
Tenable Identity Exposure 3.87 (2025-02-06)

-
Exposure Center –Verweise auf Vulnerability Priority Rating (VPR) wurden aus der Exposure-Übersicht entfernt, da Tenable Identity Exposure diese Werte für identitätsbezogene Indicators of Exposure nicht ausfüllt.

Tenable Identity Exposure Version 3.87 enthält die folgenden Fehlerkorrekturen:
Fehlerkorrekturen |
---|
In Identity 360 wird die Schwäche-Quelle „TENABLE_IDENTITY_EXPOSURE“ nicht mehr dupliziert. |
Der Indicator of Attack Golden Ticket löst jetzt im einfachen Modus eine Warnung aus, wenn der Angreifer ein gefälschtes TGT-Ticket verwendet. |
In Tenable Identity Exposure wurde die Sicherheitslücke CVE-2022-24434 behandelt, die bestimmte Softwarekomponenten betrifft und es Angreifern potenziell ermöglicht, Schwächen wie Rechteausweitung, Remotecodeausführung oder Denial of Service auszunutzen. |
In Tenable Identity Exposure wurde ein Problem behoben, bei dem das Auslösen eines Gruppenrichtlinien-Updates dazu führen konnte, dass der Tenable Ereignisprotokoll-Listener angehalten wird, während er auf interaktive Benutzereingaben wartet. |
Tenable Identity Exposure (2025-02-05)

-
Exposure Center – Das Exposure Center ist eine Funktion von Tenable Identity Exposure, die die Identitätssicherheitslage Ihrer Organisation verbessert. Es identifiziert Schwächen und Fehlkonfigurationen in der gesamten identitätsbezogenen Risikofläche und deckt sowohl die zugrunde liegenden Identitätssysteme wie Entra ID als auch die Identitäten innerhalb dieser Systeme ab.
Die Benutzeroberfläche dieser Funktion konzentriert sich auf drei miteinander zusammenhängende Konzepte: Exposure-Übersicht, Exposure-Instanzen und Feststellungen. Tenable Research unterstützt diese Konzepte mit einem neuen Sicherheitsmodul und speziell entwickelten Indicators of Exposure (IoEs), um ihre Funktionalität zu optimieren.
Weitere Informationen finden Sie unter „Exposure Center“ im Tenable Identity Exposure-Benutzerhandbuch.
-
Neue Indicators of Exposure für Entra ID
Name Beschreibung Möglichkeit von Standardkonten zur Registrierung von Anwendungen Standardmäßig kann jeder Entra-Benutzer Anwendungen innerhalb des Mandanten registrieren. Diese Funktion ist zwar praktisch und stellt keine unmittelbare Sicherheitslücke dar, sie birgt jedoch bestimmte Risiken. Daher empfiehlt Tenable gemäß Best Practices, diese Funktion zu deaktivieren. Anwendung, die mehrinstanzenfähige Authentifizierung zulässt Entra-Anwendungen erlauben eine mehrinstanzenfähige Authentifizierung und können so böswilligen Benutzern nicht autorisierten Zugriff gewähren, wenn diese Konfiguration nicht mit vollem Bewusstsein aktiviert wurde und ohne dass angemessene Berechtigungsprüfungen innerhalb des Anwendungscodes implementiert werden. Richtlinie für bedingten Zugriff deaktiviert fortlaufende Zugriffsevaluierung Die fortlaufende Zugriffsevaluierung ist eine Sicherheitsfunktion in Entra ID, die schnelle Reaktionen auf Änderungen von Sicherheitsrichtlinien oder Updates des Benutzerstatus ermöglicht. Deaktivieren Sie die Funktion daher nicht. Gefährliche Anwendungsberechtigungen mit Auswirkungen auf den Mandanten Microsoft macht APIs in Entra ID verfügbar, um Drittanbieter-Anwendungen die eigenständige Ausführung von Aktionen für Microsoft-Dienste zu erlauben (so genannte „Anwendungsberechtigungen“). Bestimmte Berechtigungen können eine ernste Gefahr für den gesamten Microsoft Entra-Mandanten darstellen. Gefährliche delegierte Berechtigungen mit Auswirkungen auf den Mandanten Microsoft macht APIs in Entra ID verfügbar, um Drittanbieter-Anwendungen die eigenständige Ausführung von Aktionen für Microsoft-Dienste zu erlauben (so genannte „Anwendungsberechtigungen“). Bestimmte Berechtigungen können eine ernste Gefahr für den gesamten Microsoft Entra-Mandanten darstellen. Deaktiviertes Konto ist einer privilegierten Rolle zugewiesen Zu einem soliden Kontoverwaltungsprozess gehört die Überwachung von Zuweisungen zu privilegierten Rollen. Inaktives Gerät Inaktive Geräte bergen Sicherheitsrisiken wie veraltete Konfigurationen und ungepatchte Schwachstellen. Ohne regelmäßige Überwachung und Updates werden diese veralteten Geräte zu potenziellen Zielen für Ausnutzungen und kompromittieren die Mandantenintegrität und die Datenvertraulichkeit. Inaktiver nicht privilegierter Benutzer Inaktive nicht privilegierte Benutzer stellen Sicherheitsrisiken dar, da Angreifer sie ausnutzen können, um sich unbefugten Zugriff zu verschaffen. Ohne regelmäßige Überwachung und Deaktivierung stellen diese veralteten Benutzer potenzielle Einstiegspunkte für bösartige Aktivitäten dar, da sie die Angriffsfläche vergrößern. Inaktiver privilegierter Benutzer Inaktive privilegierte Benutzer stellen Sicherheitsrisiken dar, da Angreifer sie ausnutzen können, um sich unbefugten Zugriff zu verschaffen. Ohne regelmäßige Überwachung und Deaktivierung stellen diese veralteten Benutzer potenzielle Einstiegspunkte für bösartige Aktivitäten dar, da sie die Angriffsfläche vergrößern. Dynamische Gruppe mit ausnutzbarer Regel Angreifer können dynamische Gruppen in Microsoft Entra ID ausnutzen, indem sie selbstveränderbare Attribute manipulieren, was es ihnen ermöglicht, sich selbst als Gruppenmitglieder hinzuzufügen. Diese Manipulation ermöglicht eine Rechteausweitung und den nicht autorisierten Zugriff auf sensible Ressourcen, die mit den Gruppen verbunden sind. Leere Entra-Gruppe Leere Gruppen können Benutzer verwirren, die Sicherheit kompromittieren und zu ungenutzten Ressourcen führen. Im Allgemeinen ist es ratsam, einen klaren Zweck für Gruppen festzulegen und sicherzustellen, dass sie relevante Mitglieder enthalten. Entra-Sicherheitsstandards nicht aktiviert Entra ID-Sicherheitsstandards bieten vorkonfigurierte, von Microsoft empfohlene Einstellungen zur Verbesserung des Mandantenschutzes. Liste der Verbunddomänen Eine bösartige Verbunddomänenkonfiguration ist eine häufige Bedrohung, die von Angreifern als Authentifizierungs-Backdoor genutzt wird, um sich Zugang zum Entra ID-Mandanten zu verschaffen. Vorhandene und neu hinzugefügte Verbunddomänen müssen unbedingt verifiziert werden, um sicherzustellen, dass ihre Konfigurationen vertrauenswürdig und legitim sind. Dieser Indicator of Exposure stellt eine umfassende Liste von Verbunddomänen und ihren relevanten Attributen bereit, anhand derer Sie fundierte Entscheidungen über ihren Sicherheitsstatus treffen können. Fehlende Übereinstimmung der Verbundsignaturzertifikate In Microsoft Entra ID ist die Delegierung der Authentifizierung an einen anderen Anbieter über einen Verbund möglich. Angreifer, die erhöhte Rechte erlangt haben, können diese Funktion jedoch missbrauchen, indem sie ein bösartiges Tokensignaturzertifikat hinzufügen und so Persistenz und Rechteausweitung ermöglichen. Erstanbieter-Dienstprinzipal mit Anmeldeinformationen Erstanbieter-Dienstprinzipale verfügen über weitreichende Berechtigungen, werden aber aufgrund ihres hohen Volumens, ihrer fehlenden Sichtbarkeit und der Tatsache, dass Microsoft der Besitzer ist, häufig übersehen. Angreifer können dies ausnutzen, indem sie diesen Prinzipalen Anmeldeinformationen hinzufügen, um ihre Berechtigungen unbemerkt für Rechteausweitung und Persistenz zu nutzen. Gastkonto mit privilegierter Rolle Gastkonten sind externe Identitäten, die ein Sicherheitsrisiko darstellen können, wenn ihnen privilegierte Rollen zugewiesen werden. Dadurch werden Personen außerhalb Ihrer Organisation erhebliche Rechte innerhalb des Mandanten gewährt. Gastkonten mit gleichem Zugriff wie normale Konten Es ist nicht ratsam, Entra ID so zu konfigurieren, dass Gäste als reguläre Benutzer betrachtet werden, da böswillige Gäste so möglicherweise die Ressourcen des Mandanten umfassend auskundschaften können. Hohe Anzahl von Administratoren Administratoren verfügen über erhöhte Rechte und können ein Sicherheitsrisiko darstellen, wenn es eine große Anzahl von ihnen gibt, da dies die Angriffsfläche vergrößert. Dies weist auch darauf hin, dass das Prinzip der geringsten Rechte nicht gewahrt wird. Bekannte Verbunddomänen-Backdoor In Microsoft Entra ID ist die Delegierung der Authentifizierung an einen anderen Anbieter über einen Verbund möglich. Angreifer, die erhöhte Rechte erlangt haben, können diese Funktion jedoch missbrauchen, indem sie ihre bösartige Verbunddomäne hinzufügen und so Persistenz und Rechteausweitung ermöglichen. Legacy-Authentifizierung nicht blockiert Legacy-Authentifizierungsmethoden unterstützen keine Multifaktor-Authentifizierung (MFA), sodass Angreifer weiterhin Brute-Force-, Credential-Stuffing- und Passwort-Spraying-Angriffe durchführen können. Fehlende Multifaktor-Authentifizierung für nicht privilegierte Konten MFA bietet starken Schutz von Konten vor schwachen oder gehackten Passwörtern. Best Practices und Standards für Sicherheit empfehlen die Aktivierung von MFA, selbst für nicht-privilegierte Konten. Konten ohne eine registrierte MFA-Methode können nicht von ihr profitieren. Fehlende Multifaktor-Authentifizierung für privilegierte Konten MFA bietet starken Schutz von Konten vor schwachen oder gehackten Passwörtern. Best Practices und Standards für Sicherheit empfehlen die Aktivierung von MFA, selbst für nicht-privilegierte Konten. Konten ohne eine registrierte MFA-Methode können nicht von ihr profitieren. Multifaktor-Authentifizierung für privilegierte Rolle nicht erforderlich MFA bietet starken Schutz von Konten vor schwachen oder gehackten Passwörtern. Best Practices und Sicherheitsstandards empfehlen, dass Sie MFA aktivieren, insbesondere für privilegierte Konten, denen privilegierte Rollen zugewiesen sind. Multifaktor-Authentifizierung für riskante Anmeldungen nicht erforderlich MFA bietet starken Schutz von Konten vor schwachen oder gehackten Passwörtern. Best Practices und Standards für Sicherheit empfehlen, MFA für riskante Anmeldungen zu fordern, zum Beispiel, wenn die Authentifizierungsanforderung möglicherweise nicht vom legitimen Identitätsbesitzer stammt. Nie verwendetes Gerät Vermeiden Sie vorab erstellte, nie verwendete Gerätekonten, da sie auf schlechte Hygienepraktiken hinweisen und potenzielle Sicherheitsrisiken darstellen können. Nie verwendeter nicht privilegierter Benutzer Nie verwendete nicht privilegierte Benutzerkonten sind anfällig für Kompromittierungen, da sie von Abwehrmaßnahmen häufig nicht erkannt werden. Darüber hinaus sind sie aufgrund ihrer Standardpasswörter ein bevorzugtes Ziel für Angreifer. Nie verwendeter privilegierter Benutzer Nie verwendete privilegierte Benutzerkonten sind anfällig für Kompromittierungen, da sie von Abwehrmaßnahmen häufig nicht erkannt werden. Darüber hinaus sind sie aufgrund ihrer Standardpasswörter ein bevorzugtes Ziel für Angreifer. Kennwortschutz für On-Premises-Umgebungen nicht aktiviert Microsoft Entra-Kennwortschutz ist eine Sicherheitsfunktion, die Benutzer daran hindert, leicht zu erratende Passwörter festzulegen, um die Passwortsicherheit in einer Organisation insgesamt zu verbessern. Namenskonvention für privilegierte Konten Eine Namenskonvention für privilegierte Benutzer in Entra ID ist für Sicherheit, Standardisierung und Audit-Compliance unerlässlich und vereinfacht die Verwaltung. Privilegiertes mit Active Directory synchronisiertes Entra-Konto (Hybridkonto) Hybridkonten (d. h. aus Active Directory synchronisierte Konten) mit privilegierten Rollen in Entra ID stellen ein Sicherheitsrisiko dar, da sie es Angreifern, die AD kompromittieren, ein Umschwenken auf Entra ID ermöglichen. Privilegierte Konten in Entra ID müssen reine Cloudkonten sein. Privilegiertes Entra-Konto mit Zugriff auf Microsoft 365-Dienste Verwenden Sie separate Entra-Konten für administrative Aufgaben: ein Standardkonto für den täglichen Gebrauch und ein dediziertes privilegiertes Konto für Verwaltungstätigkeiten. Dieser Ansatz minimiert die Angriffsfläche des privilegierten Kontos und verbessert so die Sicherheit. Öffentliche Microsoft 365-Gruppe In Entra ID gespeicherte Microsoft 365-Gruppen sind entweder öffentlich oder privat. Öffentliche Gruppen stellen ein Sicherheitsrisiko dar, da jeder Benutzer innerhalb des Mandanten ihnen beitreten und Zugriff auf ihre Daten erhalten kann (Team-Chats/-Dateien, E-Mails usw.). Zusätzlichen Kontext in Microsoft Authenticator-Benachrichtigungen anzeigen Aktivieren Sie Microsoft Authenticator-Benachrichtigungen, um zusätzlichen Kontext anzuzeigen, wie z. B. den Anwendungsnamen und den Standort, und so einen besseren Einblick zu erhalten. Dieser zusätzliche Kontext hilft Benutzern, potenziell bösartige Anforderungen zur MFA oder passwortlosen Authentifizierung zu identifizieren und abzuwehren und so das Risiko von MFA-Müdigkeitsangriffen effektiv zu mindern. Entra-Gruppe mit nur einem Mitglied Die Erstellung einer Gruppe mit nur einem Mitglied ist nicht ratsam, da dies zu unnötiger Redundanz und Komplexität führt. Durch diese Praxis werden zusätzliche Verwaltungsebenen hinzugefügt, was die Effizienz, die durch Verwendung von Gruppen für eine optimierte Zugriffskontrolle und -verwaltung eigentlich erzielt werden sollte, untergraben kann. Verdächtige Zuweisung der Rolle „Verzeichnissynchronisierungskonten” „Verzeichnissynchronisierungskonten“ ist eine privilegierte Entra-Rolle, die in den Azure- und Entra ID-Portalen ausgeblendet ist und in der Regel für Microsoft Entra Connect (früher Azure AD Connect)-Dienstkonten bestimmt ist. Allerdings können böswillige Akteure diese Rolle für verdeckte Angriffe ausnutzen. Funktion „Befristeter Zugriffspass“ aktiviert Die Funktion „Befristeter Zugriffspass“ (Temporary Access Pass, TAP) ist eine temporäre Authentifizierungsmethode, die einen zeitlich begrenzten oder eingeschränkt verwendbaren Passcode nutzt. Es handelt sich zwar um eine legitime Funktion, sie sollte jedoch aus Sicherheitsgründen deaktiviert werden, wenn Ihr Unternehmen sie nicht benötigt, um die Angriffsfläche zu reduzieren. Uneingeschränkte Gastkonten Standardmäßig schränkt Entra ID den Zugriff von Gastbenutzern ein, um die Menge der für sie sichtbaren Elemente innerhalb des Mandanten zu verringern. Sie können diese Einschränkungen verschärfen, um die Sicherheit und den Datenschutz weiter zu verbessern. Uneingeschränkte Benutzereinwilligung für Anwendungen In Entra ID können Benutzer autonom dem Zugriff externer Anwendungen auf Daten der Organisation zustimmen, was böswillige Akteure für Angriffe vom Typ „unzulässige Einwilligungserteilung“ (Consent Phishing) ausnutzen können. Verhindern Sie dies, indem Sie den Zugriff auf verifizierte Herausgeber beschränken oder die Genehmigung eines Administrators erfordern. Ungewöhnliche Gültigkeitsdauer des Verbundsignaturzertifikats Eine ungewöhnlich lange Gültigkeitsdauer für ein Verbundsignaturzertifikat ist verdächtig, da sie darauf hinweisen könnte, dass ein Angreifer erhöhte Rechte in Entra ID erlangt und über den Vertrauensstellungsmechanismus des Verbunds eine Backdoor erstellt hat. Nicht verifizierte Domäne Bestätigen Sie den Besitz aller benutzerdefinierten Domänen in Entra ID. Behalten Sie nicht verifizierte Domänen nur vorübergehend bei – Sie sollten sie entweder verifizieren oder entfernen, um eine saubere Domänenliste zu führen und effiziente Überprüfungen zu ermöglichen.
Tenable Identity Exposure 3.86 (2025-01-23)

-
Indicator of Exposure – Der neue IoE Entra ID-Hybridinformationen bietet Einblicke in Microsoft Entra ID-Daten, die in ein On-Premises Active Directory repliziert werden, und ermöglicht es Organisationen, potenzielle Sicherheitsrisiken zu identifizieren und Richtlinienabweichungen zu beheben.

-
Indicators of Exposure
-
Gefährliche Fehlkonfigurationen von verwalteten Dienstkonten – Dieser IoE wurde verbessert und unterstützt nun auch Gruppen, was eine optimierte Kontrolle des Zugriffs auf ein gMSA ermöglicht.
-
SDProp-Konsistenz sicherstellen – Verbesserte Empfehlungen.
-
Shadow Credentials – Verbesserte Empfehlungen zur Behebung der ROCA-Schwachstelle (Return of Coppersmith's Attack).
-
Zwei neue Optionen, mit denen die Kontrolle über Objektbesitzer und -berechtigungen nach Gruppenmitgliedschaft verbessert wird:
-
Zulässiger Objektbesitzer (nach Gruppenmitgliedschaft): Ermöglicht es, Sicherheitsprinzipale über ihre Gruppenmitgliedschaft zu Objektbesitzern zu ernennen.
-
Liste zulässiger Vertrauensnehmer (nach Gruppenmitgliedschaft): Ermöglicht es, Sicherheitsprinzipalen auf der Grundlage ihrer Gruppenmitgliedschaft spezielle Berechtigungen zuzuweisen.
-
-
Indicator of Attack – Im IoA Golden Ticket wurde der Text des Angriffsvektors verbessert.
-
Attribute und Typen von Vertrauensstellungen in Verzeichnisdiensten
-
Das Attribut trustType unterstützt jetzt den TTAAD-Wert (TRUST_TYPE_AAD).
-
Das Attribut trustAttributes unterstützt jetzt den TDAV-Wert (TRUST_ATTRIBUTE_DISABLE_AUTH_TARGET_VALIDATION).
-
-
Exportfunktion – Benutzer können das Trennzeichen (Komma oder Semikolon) auswählen, wenn sie einen CSV-Export durchführen, wodurch Flexibilität für verschiedene Anwendungsfälle ermöglicht wird. Der Browser merkt sich das zuletzt verwendete Trennzeichen für zukünftige Exporte.

Tenable Identity Exposure Version 3.86 enthält die folgenden Fehlerkorrekturen:
Fehlerkorrekturen |
---|
Die Weboberfläche kann jetzt Sonderzeichen verarbeiten, die in Integritätsprüfungen gemeldet werden. |
Der IoE Gefährliche Kerberos-Delegierung enthält jetzt alle belastenden Attribute im Zusammenhang mit einem verwaisten SPN. |
Tier0-Knoten in der Asset-Ansicht sind jetzt durchgängig verfügbar. |
In Tenable Identity Exposure werden nicht authentifizierte Aufrufe mit internen Diensten jetzt nicht mehr in Aktivitätsprotokollen gespeichert, was für übersichtlichere und präzisere Protokollaufzeichnungen sorgt. |
Die Integritätsprüfung für die Datensammler-/Relay-Versionen gilt jetzt als fehlerfrei (grün), wenn die Relay- und die Datensammler-Versionen sowohl im Haupt- als auch in Neben-Updates übereinstimmen oder wenn sie sich in der Nebenversion nur um eins unterscheiden. Dies bietet eine gewisse Flexibilität für automatische Updates oder für Fälle, in denen das Softwareupdate während Rollouts etwas früher erfolgt als das der Plattform. |
In Tenable Identity Exposure können Durchforstungen jetzt auch dann erfolgreich abgeschlossen werden, wenn die Erfassung sensibler Daten nicht ordnungsgemäß konfiguriert ist. |
In Tenable Identity Exposure wurde die Geschwindigkeit der Windows-Ereignisprotokollanalyse verbessert, wodurch kumulierte Verzögerungen im Produkt verhindert werden. Sie müssen Indicators of Attack neu bereitstellen, um von dieser Änderung zu profitieren. |
Tenable Identity Exposure (2025-01-10)

-
Identity 360 – Eine neue identitätszentrierte Funktion in Tenable Identity Exposure bietet eine umfassende und ausführliche Inventarisierung aller Identitäten auf der gesamten identitätsbezogenen Risikofläche der Organisation.
Diese Funktion vereinheitlicht Identitäten in Active Directory und Entra ID und ermöglicht ihre Einstufung nach dem jeweiligen Risiko, sodass Sie Identitäten in Ihrem Unternehmen vom höchsten zum niedrigsten Risiko einordnen können.
Darüber hinaus können sich Benutzer mit Identity 360 ein umfassendes Bild von jeder Identität machen, indem sie verschiedene kontextbezogene Aspekte wie Konten, Schwachstellen und Geräte betrachten, die mit einer bestimmten Identität verbunden sind.
Weitere Informationen finden Sie unter „Identity 360“ im Tenable Identity Exposure-Benutzerhandbuch.
Tenable Identity Exposure 3.85 (2025-01-08)

-
Integritätsprüfung – Eine neue Integritätsprüfung für Domänen stärkt das Vertrauen in Ihre Indicator of Attack-Bereitstellung, indem sie bekannte Fehler für jede Domäne einzeln identifiziert und behebt.
Weitere Informationen finden Sie unter „Integritätsprüfungen“ im Tenable Identity Exposure-Benutzerhandbuch.

Tenable Identity Exposure Version 3.85 enthält die folgenden Fehlerkorrekturen:
Fehlerkorrekturen |
---|
Tenable Identity Exposure ruft jetzt das vorherige Attribut pwdLastSet ab, um Zeitspanne zwischen zwei Passwort-Zurücksetzungen bei Angriffen zu berechnen, vor denen der IoA Verdächtige Änderung des DC-Passworts warnt. |
In Tenable Identity Exposure wurden die Optionen für den Schwellenwert für die Kontosperrung und die Sperrdauer im IoE Anwendung von schwachen Passwortrichtlinien auf Benutzer so geändert, dass Sie Abweichungen in die Zulassungsliste aufnehmen können, wenn deren Werte gleich 0 sind. |
Der IoA OS Credential Dumping löst die IP-Adresse und den Hostnamen der Quelle sowie die IP-Adresse des Ziels jetzt korrekt auf, wenn der Angriff durch NT AUTHORITY\SYSTEM ausgelöst wird. |
In Tenable Identity Exposure wurde eine Schwachstelle im Zusammenhang mit der Offenlegung von Anmeldeinformationen behoben, um Administratoren daran zu hindern, gespeicherte Anmeldeinformationen von SMTP-Konten zu extrahieren. |