Tenable Identity Exposure – Versionshinweise 2025

Tipp: Sie können Benachrichtigungen abonnieren, um über Tenable-Updates der Dokumentation informiert zu werden.

Diese Versionshinweise sind in umgekehrter chronologischer Reihenfolge aufgelistet.

Tenable Identity Exposure 3.95 (02.06.2025)

Indicators of Exposure für Active Directory (AD)

  • Gefährliche dMSA-Berechtigungen durch BadSuccessor – Dieser IoE erkennt BadSuccessor, eine Schwachstelle bei der Rechteausweitung in Active Directory, die mit Windows Server 2025-dMSAs eingeführt wurde. Diese Schwachstelle ermöglicht es Angreifern, die dMSA-Vererbung zu missbrauchen, um Zugriff mit hohen Berechtigungen zu erhalten, wodurch die gesamte Domäne kompromittiert werden kann. Für die Ausnutzung ist ein Windows Server 2025-Domänencontroller erforderlich.

  • In Tenable Identity Exposure wurden die Menüs Einstellungen umbenannt, damit ihr Zweck besser zum Ausdruck gebracht wird. Darüber hinaus ist das Menü Identitätsanbieter, das bei Aktivierung zur Konfiguration von Entra ID-Mandanten verwendet wird, in Tenable Identity Exposure jetzt über das Zahnradsymbol einfacher zugänglich.

Tenable Identity Exposure Version 3.95 enthält die folgenden Fehlerkorrekturen:

Fehlerkorrekturen
In Tenable Identity Exposure wurde eine Schutzmaßnahme hinzugefügt, um doppelte Entitäten vom Typ „Tenable Identity Exposure – Automatisch generiert“ in der Tenable Cloud zu vermeiden.
Der lange Verzeichnispfad wird im MSI-Fenster des Relay jetzt korrekt angezeigt.
Tenable Identity Exposure unterstützt jetzt die benutzerdefinierte Benennung des IoA-GPO. Kunden, die zuvor einen benutzerdefinierten Namen für das IoA-GPO verwendet haben, sollten den IoA mit dem neuesten IoA-Skript neu installieren.

Tenable Identity Exposure 3.94 (26.05.2025)

Indicators of Exposure (IoE) für Entra ID

  • Benutzer, die Geräte hinzufügen dürfen – Dieser IoE erkennt Mandanteneinstellungen, die es Benutzern ermöglichen, Geräte zu Microsoft Entra hinzuzufügen. Diese Einstellung erlaubt allen Benutzern, uneingeschränkt Geräte mit dem Entra-Mandanten zu verbinden, was Tür und Tor für Angreifer öffnet, Rogue-Geräte in das Identitätssystem der Organisation einzuschleusen und sich so eine Ausgangsbasis für weitere Kompromittierungen zu verschaffen.

  • Verwaltete Geräte sind für die Authentifizierung nicht erforderlich – Dieser IoE erfordert, dass verwaltete Geräte unbefugten Zugriff und potenzielle Sicherheitsverletzungen verhindern. Best Practices für Sicherheit empfehlen die Verwendung von Richtlinien für bedingten Zugriff, um die Authentifizierung bei Entra ID von nicht verwalteten Geräten aus zu blockieren.

  • Migration der Authentifizierungsmethoden nicht abgeschlossen – Dieser IoE kennzeichnet Mandanten, die die Migration zur neuen Richtlinie „Authentifizierungsmethoden“ nicht abgeschlossen haben. Durch die Migration zur Richtlinie „Authentifizierungsmethoden“ wird die Authentifizierungsverwaltung in Microsoft Entra ID optimiert und modernisiert. Diese Umstellung vereinfacht die Administration, erhöht die Sicherheit und ermöglicht Unterstützung für die neuesten Authentifizierungsmethoden.

  • Gefährliche Anwendungsberechtigungen mit Auswirkungen auf Daten – Microsoft macht APIs in Entra ID verfügbar, um Drittanbieter-Anwendungen die eigenständige Ausführung von Aktionen für Microsoft-Dienste zu erlauben (so genannte „Anwendungsberechtigungen“). Dieser IoE erkennt Berechtigungen, die eine Gefahr für die Daten der Benutzer darstellen können, die von diesen Diensten gespeichert werden.

  • Riskante Benutzer ohne Erzwingung – Dieser IoE blockiert riskante Benutzer, um unbefugten Zugriff und potenzielle Sicherheitsverletzungen zu verhindern. Best Practices für Sicherheit empfehlen die Verwendung von Richtlinien für bedingten Zugriff, um zu verhindern, dass sich anfällige Konten bei Entra ID authentifizieren.

Indicators of Exposure für Active Directory (AD)

  • Sensible Exchange-Berechtigungen – Dieser IoE verwaltet Berechtigungen in Bezug auf Exchange-Gruppen und -Ressourcen innerhalb der Domäne. Es werden jetzt ausschließlich alle Berechtigungen angezeigt, die entweder von Exchange stammen oder auf Exchange abzielen, um die Lesbarkeit in anderen IoEs zu verbessern.

  • Mitglieder von Exchange-Gruppen – Dieser IoE verfolgt Mitglieder sensibler Exchange-Gruppen.

  • Ausschluss von „Verzeichnissynchronisierungskonten“ aus Richtlinien für bedingten Zugriff, ob manuell erstellt oder über Behebungsskripts bereitgestellt, um Unterbrechungen von Entra Connect und Entra Cloud Sync zu vermeiden.

  • Das ACR (Asset Critical Rating) von Identitäten wurde verbessert, um die Unternehmenshierarchie und damit verbundene Risiken besser berücksichtigen zu können.

  • Neue Oberfläche des Formulars für SMTP-Warnungen.

Tenable Identity Exposure Version 3.94 enthält die folgenden Fehlerkorrekturen:

Fehlerkorrekturen
Der Indicator of Attack Ermitteln von Passwörtern meldet jetzt, dass keine Daten verfügbar sind, wenn er die Quell-IP nicht aus dem Wert „Workstation“ abrufen kann.
Tenable Identity Exposure positioniert das Export-Popover jetzt korrekt, sodass die Schaltfläche Exportieren auch bei der Standard-Zoomstufe des Browsers sichtbar bleibt.
Tenable Identity Exposure speichert globale Suchanfragen aus Identity 360 und der Exposure-Übersicht jetzt korrekt in der Verlaufsabfrage, selbst wenn der Verlauf zunächst leer ist.
Sie können globale Suchabfragen aus Identity 360 oder der Exposure-Übersicht jetzt mit Lesezeichen versehen, selbst wenn die Lesezeichenliste zunächst leer ist.
Die Integritätsprüfungen für den Domänenkonnektivitätstest und die privilegierte Analyse verarbeiten bestimmte objectSID-Kodierungen jetzt ordnungsgemäß.
Der Indicator of Attack NTDS-Extrahierung korreliert den Quellbenutzernamen jetzt ordnungsgemäß.
In Tenable Identity Exposure wurden Leistungsprobleme in Exposure-Instanzen behoben, die gelegentlich das Laden der Seite verhinderten.
Der Security Engine Node-Dienst „Cygni“ wird jetzt auch dann erfolgreich gestartet, wenn keine Internetverbindung besteht, während die OpenTelemetry-Funktion aktiviert ist.

8. Mai 2025

Tenable freut sich, einige bedeutende Verbesserungen für Ihr Cloud-Produkt „Workspace“ bekannt zu geben. Wir haben den Workspace neu gestaltet, um Ihnen mehr Übersicht und besseren Zugriff auf Tenable-Produkte zu bieten:

  • Verbesserte Produktübersicht – Sie sehen nun auf einen Blick, welche Produkte Sie bereits erworben haben und welche weiteren Lösungen zur Erkundung bereitstehen.

  • Detaillierte Produktinformationen – Über Weitere Details können Sie Produkte direkt testen und sich umfassend über deren Funktionen informieren.

  • Produktnutzung – Wir haben eine Nutzungsfunktion hinzugefügt, die den Prozentsatz anzeigt, wie stark Sie die abonnierten Produkte nutzen. Sie ermöglicht Ihnen, schnell zur Seite Lizenzinformationen zu gelangen

  • Teststatus auf einen Blick – Wenn Sie ein Produkt gerade testen oder in den letzten 12 Monaten getestet haben, wird der aktuelle Status (z.  B. Testversion aktiv oder Testversion abgelaufen) direkt in Ihrem Workspace angezeigt.

Diese Änderungen sollen Ihnen helfen, Ihre Tenable-Lösungen optimal zu nutzen und neue Möglichkeiten zur Stärkung Ihrer Sicherheit zu finden.  Mehr erfahren Sie direkt über die Seite „Workspace“ in jeder Tenable Cloud-Anwendung.

Tenable Identity Exposure 3.92.3 (28.04.2025)

Tenable hat eine kritische Schwachstelle (CVE-2025-32433) identifiziert und behoben, die die SSH-Implementierung in Erlang/OTP betrifft, bei der es ein Fehler in der Handhabung von SSH-Protokollmeldungen einem böswilligen Akteur ermöglichte, sich ohne gültige Zugangsdaten unbefugten Zugriff zu verschaffen und beliebigen Code auszuführen.

Tenable Identity Exposure 3.92 (17.04.2025)

Tenable Identity Exposure Version 3.92 enthält die folgenden Fehlerkorrekturen:

Fehlerkorrekturen
Das Relay abonniert SMB-Ereignisse jetzt erneut, wenn es den Win32-Fehler „The account is not authorized to log on from this station“ erhält.
In Tenable Identity Exposure wurde die Genauigkeit der Berichterstattung über die Anzahl der Lizenzbenutzer verbessert, indem ein Problem behoben wurde, das gelegentlich und vorübergehend zu überhöhten Zahlen führte.
Das IoA-Skript aktualisiert die IoA-GPO-Computereinstellungen jetzt nur noch während der Installation, sodass keine Benutzerinteraktion erforderlich ist.
Der Grund für den dynamischen RPC-Port wurde vollständig zur Integritätsprüfung der Domänendatenerfassung migriert.
Verbesserungen der IoA-Korrelationsregeln liefern jetzt genauere Angriffsvektoren für den IoA Petit Potam.

Tenable Identity Exposure 3.91.1 (08.04.2025)

Tenable Identity Exposure Version 3.91.1 enthält die folgende Fehlerkorrektur:

Fehlerkorrekturen
Der Grund für die Integritätsprüfung „Funktionsfähige Verbindung zum dynamischen RPC-Port“ wurde in die Integritätsprüfung Privilegierte Analyse verschoben.

Tenable Identity Exposure 3.91 (02.04.2025)

  • Nicht wesentliche Gruppe – Dieser neue Indicator of Exposure (IoE) meldet leere Gruppen und Gruppen mit nur einem Mitglied.

    Hinweis: Der IoE Nicht wesentliche Gruppe wurde ursprünglich als zwei separate IoEs – Leere AD-Gruppe und AD-Gruppe mit nur einem Mitglied – zusammen mit Exposure Center am 5. Februar 2025 veröffentlicht. Diese beiden IoEs wurden später in die Ansicht Indicator of Exposure verschoben und an andere AD-bezogene IoEs angepasst. Der neue IoE Nicht wesentliche Gruppe konsolidiert diese bisherigen IoEs in einer einzigen Entität.

  • Entfernung des Suffixes /Default aus den Namen von Exposure-Instanzen, da Tenable Identity Exposure davon ausgeht, dass alle Schwächen von einer einzigen Instanz stammen.

  • Die Seiten Identity 360 und Exposure-Übersicht werden jetzt auf die Seite Exposure-Instanzen umgeleitet, wenn die zugehörigen Schwächen aufgeschlüsselt werden.

Tenable Identity Exposure Version 3.91 enthält die folgenden Fehlerkorrekturen:

Fehlerkorrekturen
Der Indicator of Attack (IoA) zur NTDS-Extrahierung löst jetzt das Attribut Benutzername des Angriffsvektors der Quelle korrekt auf.
Beseitigung der Einschränkung, durch die die Aufhebung der Auswahl aller Domänen in der IoA-Konfiguration verhindert wurde. Dadurch wurden Fehler bei der Integritätsprüfung behoben, die durch fehlende GPOs verursacht wurden.
Der Grund „GPO-Passwortparameter fehlt“ aus dem Indicator of Exposure (IoE) Anwendung von schwachen Passwortrichtlinien auf Benutzer meldet keine falsch positive Abweichung im Ordner Richtlinien der Domäne mehr.

Tenable Identity Exposure 3.90 (19.03.2025)

  • Nicht unterstützte oder veraltete Exchange-Server – Dieser neue Indicator of Exposure (IoE) erkennt veraltete Exchange-Server, die von Microsoft nicht mehr unterstützt werden, sowie solche, auf denen die neuesten kumulativen Updates fehlen. Damit Ihre Exchange-Umgebung auch weiterhin sicher ist und vollständig unterstützt wird, aktualisieren Sie umgehend veraltete oder ungepatchte Server. Andernfalls erhöht sich das Ausnutzungsrisiko und Ihre Organisation wird anfällig für Datenschutzvorfälle und Ransomware-Angriffe.

  • Der IoE Gefährliche ADCS-Fehlkonfigurationen meldet jetzt die Schwachstelle ESC9 und kennzeichnet Zertifikatvorlagen mit dem nicht abgesicherten CT_FLAG_NO_SECURITY_EXTENSION als Abweichung.

  • Auf den Seiten Exposure-Übersicht und Exposure-Instanzen werden jetzt die Namen der Identitätsanbieter-Mandanten (AD-Domäne, Entra ID-Mandant usw.) angezeigt, bei denen Sicherheitsvorfälle gefunden wurden.

Tenable Identity Exposure Version 3.90 enthält die folgenden Fehlerkorrekturen:

Fehlerkorrekturen
Gelöschte/deaktivierte Computer/Benutzer generieren keine Abweichungen mehr, wenn Sie die Optionen „Gelöschte beibehalten“ oder „Deaktivierte beibehalten“ in Ihren Sicherheitsprofilen nicht explizit auf wahr festgelegt haben.
Der Filter „Exposure-Übersicht“ für die Eigenschaft „Quellen“ schlägt keine irrelevanten Werte mehr vor.
Nach dem Löschen eines Objekts, das im IoE Login-Beschränkungen für privilegierte Benutzer als abweichend identifiziert wurde, wird die zugehörige Abweichung korrekt geschlossen.
In Tenable Identity Exposure wurde die Isolierung der Eingabesuche zwischen den Seiten Domänen und Honey-Konto verbessert.
Tenable Identity Exposure erfasst jetzt Active Directory- und Entra ID-Kontakte. Gruppen, die nur Kontakte als Mitglieder haben, werden nicht mehr als leer identifiziert. Darüber hinaus werden AD- und Entra ID-Kontaktdaten unter Tenable Inventory als Ressourcen angezeigt.
In Tenable Identity Exposure wurde die fehlende Einstellung für den Datenzeitrahmen in der Berichtskonfiguration behoben.
In Tenable Identity Exposure wurden weitere kontextbezogene Informationen im Zusammenhang mit LDAP-Login-Problemen hinzugefügt.

Tenable Identity Exposure 3.89 (10.03.2025)

  • Identity 360

    • Die Ladezeiten für verschiedene Identity 360-Seiten wurden verbessert, insbesondere bei der Anzeige der Registerkarten für Zugriff und Berechtigung eines Assets.

    • Tenable Identity Exposure erfasst Active Directory-Berechtigungen jetzt schneller und macht die Daten nach der Einrichtung des Produkts früher auf der Identity 360-Seite auf der Registerkarte Berechtigung mit den Details des Assets verfügbar. Tenable Identity Exposure konzentriert sich nur auf Berechtigungen, die sich auf den Sicherheitskontext unserer Kunden auswirken.

  • Indicators of Exposure (IoE)

    • Zugeordnete Zertifikate für Konten – Zuvor meldet dieser IoE privilegierte Benutzer mit nur zwei Arten von Zuordnungen: X509IssuerSubject und X509SubjectOnly. Dies wurde nun um zusätzliche Zuordnungen erweitert: X509RFC822, X509IssuerSerialNumber, X509SKI und X509SHA1PublicKey.

    • Zugeordnete Zertifikate für Konten – In Tenable Identity Exposure wurde dieser IoE als Reaktion auf die AD CS ESC14 Abuse Technique dahingehend verbessert, dass schwache explizite Zertifikatzuordnungen gemeldet werden.

    • AD-/Entra-Gruppe mit nur einem Mitglied – Der IoE gibt jetzt das Gruppenmitglied in der Beschreibung „Warum dies wichtig ist“ an.

    • Erstanbieter-Dienstprinzipal mit Anmeldeinformationen – Der IoE gibt jetzt die Details für die identifizierten Anmeldeinformationen in der Beschreibung „Warum dies wichtig ist“ an.

    • AD-/Entra-Gruppe mit nur einem Mitglied und Leere Gruppe – Diese IoEs zählen jetzt nur noch direkte Mitglieder, um genauere und aussagekräftigere Ergebnisse zu erzielen.

    • Anpassung des Sicherheitsprofils – Die Beschreibung der Optionen „Zulässiger Objektbesitzer (nach Gruppenmitgliedschaft)“ wurde für geltende IoEs verbessert.

  • Integritätsprüfungen

    • Berechtigungen zum Sammeln der AD-Domänendaten – Blendet jetzt die Details zu „Berechtigungen zum Sammeln privilegierter Daten“ aus, wenn „Privilegierte Analyse“ in der Benutzeroberfläche deaktiviert ist. Vergewissern Sie sich, dass das Relay auf dem neuesten Stand ist, damit diese Funktion funktioniert.

    • Erreichbarkeit der Domäne – Gibt jetzt einen genaueren Grund dafür an, warum die Domäne nicht erreichbar ist.

Tenable Identity Exposure Version 3.89 enthält die folgenden Fehlerkorrekturen:

Fehlerkorrekturen
Standardmäßig sortiert Tenable Identity Exposure jetzt die Namen der Schwächen auf der Seite Exposure-Instanzen in aufsteigender Reihenfolge.
In der Exposure-Übersicht werden keine nicht identitätsbezogenen Schwächen mehr angezeigt.
In Tenable Identity Exposure wurde die Lesbarkeit der Paginierungsdetails in den Übersichten zu Identitäten und Exposure verbessert.
In Tenable Identity Exposure wurden die Erkennung und der Abgleich von Active Directory-Gruppen für Tenable One-Benutzer verbessert.
In der Übersicht über Identitäten können jetzt bei Erweiterung der Werte der Eigenschaft „Identity-Mandantenamen“ vollständige Namen angezeigt werden.
In Tenable Identity Exposure wird das Ereignis Nummer 4624 in der neuesten Windows-Version jetzt korrekt verarbeitet.
Wenn ein Angreifercomputer eine Domäne verlässt, kann der Indicator of Attack DCSync jetzt im einfachen Modus Warnungen auslösen.
In Tenable Identity Exposure wird das Ignorieren und das Aufheben des Ignorierens aller abweichenden Objekte, die über einen Ausdruck ausgewählt wurden, jetzt korrekt behandelt.
In Tenable Identity Exposure wird jetzt das ordnungsgemäße Entfernen des Envoy-Diensts während der Deinstallation des Secure Relay sichergestellt, selbst wenn es mit Directory Listener installiert wird.
In Tenable Identity Exposure wird jetzt bei der Auswahl abweichender Objekte die Filterung ausgewählter Ursachen korrekt angewendet (falls zutreffend).
Tenable signiert das Skript zur Konfiguration von Indicators of Attack jetzt digital. Dies verhindert, dass externe Sicherheitstools es aufgrund einer fehlenden Signatur als potenzielles Risiko kennzeichnen.

Tenable Identity Exposure 3.88 (20.02.2025)

  • Der Indicator of Exposure (AD) Gefährliche Exchange-Fehlkonfigurationen listet Fehlkonfigurationen auf, die sich auf Exchange-Ressourcen oder ihre zugrunde liegenden Active Directory-Schemaobjekte auswirken.

Tenable Identity Exposure Version 3.88 enthält die folgenden Fehlerkorrekturen:

Fehlerkorrekturen
Der Indicator of Attack (IoA)-Listener gibt jetzt effizient Arbeitsspeicher frei. Damit wird ein in Version 3.86 eingeführtes Problem behoben. Dies betrifft nur Kunden, die IoAs in den Versionen 3.86 oder 3.87 installiert haben. Diese Kunden müssen IoAs in Version 3.88 neu installieren.
Im Exposure Center führen betroffene Assets mit dem Status „Aufgelöst“ nicht mehr auf eine leere Seite ohne Daten.
Einige mit Schwächen in Zusammenhang stehende Texte, die in den Exposure-Instanzen angezeigt werden, sind jetzt besser strukturiert, um die Klarheit und Lesbarkeit zu verbessern.
Text in Zusammenhang mit Schwächen in Exposure-Instanzen zeigt jetzt Aufzählungspunkte ohne unnötige Zeilenumbrüche an, wodurch die Lesbarkeit und Konsistenz verbessert werden.
Umleitungen von Identity 360 zu Tenable One führen nicht mehr zu leeren Seiten.
QuickInfos in den Rasterwerten des Überblicks über Identitäten werden für Eigenschaften mit benutzerdefinierten QuickInfos nicht mehr als Duplikate angezeigt.
Auf den Seiten mit Identitätsdetails kann die KI-Asset-Zusammenfassung jetzt wieder generiert werden.
Zeilen, die in Identity 360 und der Exposure-Übersicht für den Export ausgewählt wurden, bleiben jetzt auch nach Abschluss des Exports ausgewählt.
Durch die Deinstallation des Secure Relay wird der für Ceti (Directory Listener) freigegebene Ordner „Tools“ nicht mehr entfernt. Wenn beide auf demselben Computer installiert sind, bleibt der Ordner „Tools“ jetzt intakt und die nssm-Binärdatei bleibt erhalten.
Wenn Sie in der Exposure-Übersicht Spalten hinzufügen, können Sie diese jetzt für den Datenexport auswählen.
Auf der Detailseite der Exposure-Instanz wird die Spalte „Asset-Klasse“ jetzt bei Bedarf abgeschnitten und verfügt über eine QuickInfo, die den vollständigen Wert anzeigt.
Die Exposure Center-Behebungsskripts haben jetzt ein Präfix mit dem lokalisierten Schwäche-Namen.
Weitere Textelemente in der Exposure Center-Benutzeroberfläche unterstützen jetzt Lokalisierung.
Die auf den Seiten der Exposure-Instanzen angezeigten Hyperlinks zu Zielen in der Microsoft-Dokumentation verweisen jetzt auf die lokalisierte Version der Dokumentation.
Die CSV-Exporte von „Betroffene Assets“ in Exposure-Instanzen zeigen jetzt lokalisierte Namen von Spaltenüberschriften an.
In Tenable Identity Exposure wurde die Websocket-Sicherheit verbessert.
Hyperlink-Textbeschreibungen in Exposure-Instanzen werden jetzt in die nächste Zeile umgebrochen, wenn der verfügbare Platz überschritten wird.
Die Integritätsprüfung „Domänencontroller-Aktivität“ erkennt inaktive Domänencontroller jetzt innerhalb von 15 Minuten basierend auf der Aktivität des Indicator of Attack-Ereignisprotokolls. Zwar werden Fehler nach wie vor erst nach diesem Zeitraum gemeldet, jedoch werden erfolgreiche Fälle und reaktivierte Domänencontroller jetzt viel schneller gemeldet. Darüber hinaus stellt eine Fehlerkorrektur sicher, dass bei der Integritätsprüfung aktuelle Daten verwendet werden.
Tenable Identity Exposure bietet verbesserte Anwendungsresilienz durch ordnungsgemäße Behandlung von RabbitMQ-Kanal-Fehlern während der Veröffentlichung von Nachrichten.
Die Registerkarte „Abweichungen“ wird korrekt angezeigt, wenn Sie im Trail Flow auf Ereignisse klicken.
Bei Identity 360-CSV-Exporten werden Daten mit doppelten Anführungszeichen jetzt korrekt verarbeitet.

Tenable Identity Exposure 3.87 (06.02.2025)

  • Exposure Center –Verweise auf Vulnerability Priority Rating (VPR) wurden aus der Exposure-Übersicht entfernt, da Tenable Identity Exposure diese Werte für identitätsbezogene Indicators of Exposure nicht ausfüllt.

Tenable Identity Exposure Version 3.87 enthält die folgenden Fehlerkorrekturen:

Fehlerkorrekturen
In Identity 360 wird die Schwäche-Quelle „TENABLE_IDENTITY_EXPOSURE“ nicht mehr dupliziert.
Der Indicator of Attack Golden Ticket löst jetzt im einfachen Modus eine Warnung aus, wenn der Angreifer ein gefälschtes TGT-Ticket verwendet.
In Tenable Identity Exposure wurde die Sicherheitslücke CVE-2022-24434 behandelt, die bestimmte Softwarekomponenten betrifft und es Angreifern potenziell ermöglicht, Schwächen wie Rechteausweitung, Remotecodeausführung oder Denial of Service auszunutzen.
In Tenable Identity Exposure wurde ein Problem behoben, bei dem das Auslösen eines Gruppenrichtlinien-Updates dazu führen konnte, dass der Tenable Ereignisprotokoll-Listener angehalten wird, während er auf interaktive Benutzereingaben wartet.

Tenable Identity Exposure (05.02.2025)

  • Exposure Center – Das Exposure Center ist eine Funktion von Tenable Identity Exposure, die die Identitätssicherheitslage Ihrer Organisation verbessert. Es identifiziert Schwächen und Fehlkonfigurationen in der gesamten identitätsbezogenen Risikofläche und deckt sowohl die zugrunde liegenden Identitätssysteme wie Entra ID als auch die Identitäten innerhalb dieser Systeme ab.

    Die Benutzeroberfläche dieser Funktion konzentriert sich auf drei miteinander zusammenhängende Konzepte: Exposure-Übersicht, Exposure-Instanzen und Feststellungen. Tenable Research unterstützt diese Konzepte mit einem neuen Sicherheitsmodul und speziell entwickelten Indicators of Exposure (IoEs), um ihre Funktionalität zu optimieren.

    Weitere Informationen finden Sie unter „Exposure Center“ im Tenable Identity Exposure-Benutzerhandbuch.

  • Neue Indicators of Exposure für Entra ID

    Name Beschreibung
    Möglichkeit von Standardkonten zur Registrierung von Anwendungen Standardmäßig kann jeder Entra-Benutzer Anwendungen innerhalb des Mandanten registrieren. Diese Funktion ist zwar praktisch und stellt keine unmittelbare Sicherheitslücke dar, sie birgt jedoch bestimmte Risiken. Daher empfiehlt Tenable gemäß Best Practices, diese Funktion zu deaktivieren.
    Anwendung, die mehrinstanzenfähige Authentifizierung zulässt Entra-Anwendungen erlauben eine mehrinstanzenfähige Authentifizierung und können so böswilligen Benutzern nicht autorisierten Zugriff gewähren, wenn diese Konfiguration nicht mit vollem Bewusstsein aktiviert wurde und ohne dass angemessene Berechtigungsprüfungen innerhalb des Anwendungscodes implementiert werden.
    Richtlinie für bedingten Zugriff deaktiviert fortlaufende Zugriffsevaluierung Die fortlaufende Zugriffsevaluierung ist eine Sicherheitsfunktion in Entra ID, die schnelle Reaktionen auf Änderungen von Sicherheitsrichtlinien oder Updates des Benutzerstatus ermöglicht. Deaktivieren Sie die Funktion daher nicht.
    Gefährliche Anwendungsberechtigungen mit Auswirkungen auf den Mandanten Microsoft macht APIs in Entra ID verfügbar, um Drittanbieter-Anwendungen die eigenständige Ausführung von Aktionen für Microsoft-Dienste zu erlauben (so genannte „Anwendungsberechtigungen“). Bestimmte Berechtigungen können eine ernste Gefahr für den gesamten Microsoft Entra-Mandanten darstellen.
    Gefährliche delegierte Berechtigungen mit Auswirkungen auf den Mandanten Microsoft macht APIs in Entra ID verfügbar, um Drittanbieter-Anwendungen die eigenständige Ausführung von Aktionen für Microsoft-Dienste zu erlauben (so genannte „Anwendungsberechtigungen“). Bestimmte Berechtigungen können eine ernste Gefahr für den gesamten Microsoft Entra-Mandanten darstellen.
    Deaktiviertes Konto ist einer privilegierten Rolle zugewiesen Zu einem soliden Kontoverwaltungsprozess gehört die Überwachung von Zuweisungen zu privilegierten Rollen.
    Inaktives Gerät Inaktive Geräte bergen Sicherheitsrisiken wie veraltete Konfigurationen und ungepatchte Schwachstellen. Ohne regelmäßige Überwachung und Updates werden diese veralteten Geräte zu potenziellen Zielen für Ausnutzungen und kompromittieren die Mandantenintegrität und die Datenvertraulichkeit.
    Inaktiver nicht privilegierter Benutzer Inaktive nicht privilegierte Benutzer stellen Sicherheitsrisiken dar, da Angreifer sie ausnutzen können, um sich unbefugten Zugriff zu verschaffen. Ohne regelmäßige Überwachung und Deaktivierung stellen diese veralteten Benutzer potenzielle Einstiegspunkte für bösartige Aktivitäten dar, da sie die Angriffsfläche vergrößern.
    Inaktiver privilegierter Benutzer Inaktive privilegierte Benutzer stellen Sicherheitsrisiken dar, da Angreifer sie ausnutzen können, um sich unbefugten Zugriff zu verschaffen. Ohne regelmäßige Überwachung und Deaktivierung stellen diese veralteten Benutzer potenzielle Einstiegspunkte für bösartige Aktivitäten dar, da sie die Angriffsfläche vergrößern.
    Dynamische Gruppe mit ausnutzbarer Regel Angreifer können dynamische Gruppen in Microsoft Entra ID ausnutzen, indem sie selbstveränderbare Attribute manipulieren, was es ihnen ermöglicht, sich selbst als Gruppenmitglieder hinzuzufügen. Diese Manipulation ermöglicht eine Rechteausweitung und den nicht autorisierten Zugriff auf sensible Ressourcen, die mit den Gruppen verbunden sind.
    Leere Entra-Gruppe Leere Gruppen können Benutzer verwirren, die Sicherheit kompromittieren und zu ungenutzten Ressourcen führen. Im Allgemeinen ist es ratsam, einen klaren Zweck für Gruppen festzulegen und sicherzustellen, dass sie relevante Mitglieder enthalten.
    Entra-Sicherheitsstandards nicht aktiviert Entra ID-Sicherheitsstandards bieten vorkonfigurierte, von Microsoft empfohlene Einstellungen zur Verbesserung des Mandantenschutzes.
    Liste der Verbunddomänen Eine bösartige Verbunddomänenkonfiguration ist eine häufige Bedrohung, die von Angreifern als Authentifizierungs-Backdoor genutzt wird, um sich Zugang zum Entra ID-Mandanten zu verschaffen. Vorhandene und neu hinzugefügte Verbunddomänen müssen unbedingt verifiziert werden, um sicherzustellen, dass ihre Konfigurationen vertrauenswürdig und legitim sind. Dieser Indicator of Exposure stellt eine umfassende Liste von Verbunddomänen und ihren relevanten Attributen bereit, anhand derer Sie fundierte Entscheidungen über ihren Sicherheitsstatus treffen können.
    Fehlende Übereinstimmung der Verbundsignaturzertifikate In Microsoft Entra ID ist die Delegierung der Authentifizierung an einen anderen Anbieter über einen Verbund möglich. Angreifer, die erhöhte Rechte erlangt haben, können diese Funktion jedoch missbrauchen, indem sie ein bösartiges Tokensignaturzertifikat hinzufügen und so Persistenz und Rechteausweitung ermöglichen.
    Erstanbieter-Dienstprinzipal mit Anmeldeinformationen Erstanbieter-Dienstprinzipale verfügen über weitreichende Berechtigungen, werden aber aufgrund ihres hohen Volumens, ihrer fehlenden Sichtbarkeit und der Tatsache, dass Microsoft der Besitzer ist, häufig übersehen. Angreifer können dies ausnutzen, indem sie diesen Prinzipalen Anmeldeinformationen hinzufügen, um ihre Berechtigungen unbemerkt für Rechteausweitung und Persistenz zu nutzen.
    Gastkonto mit privilegierter Rolle Gastkonten sind externe Identitäten, die ein Sicherheitsrisiko darstellen können, wenn ihnen privilegierte Rollen zugewiesen werden. Dadurch werden Personen außerhalb Ihrer Organisation erhebliche Rechte innerhalb des Mandanten gewährt.
    Gastkonten mit gleichem Zugriff wie normale Konten Es ist nicht ratsam, Entra ID so zu konfigurieren, dass Gäste als reguläre Benutzer betrachtet werden, da böswillige Gäste so möglicherweise die Ressourcen des Mandanten umfassend auskundschaften können.
    Hohe Anzahl von Administratoren Administratoren verfügen über erhöhte Rechte und können ein Sicherheitsrisiko darstellen, wenn es eine große Anzahl von ihnen gibt, da dies die Angriffsfläche vergrößert. Dies weist auch darauf hin, dass das Prinzip der geringsten Rechte nicht gewahrt wird.
    Bekannte Verbunddomänen-Backdoor In Microsoft Entra ID ist die Delegierung der Authentifizierung an einen anderen Anbieter über einen Verbund möglich. Angreifer, die erhöhte Rechte erlangt haben, können diese Funktion jedoch missbrauchen, indem sie ihre bösartige Verbunddomäne hinzufügen und so Persistenz und Rechteausweitung ermöglichen.
    Legacy-Authentifizierung nicht blockiert Legacy-Authentifizierungsmethoden unterstützen keine Multifaktor-Authentifizierung (MFA), sodass Angreifer weiterhin Brute-Force-, Credential-Stuffing- und Passwort-Spraying-Angriffe durchführen können.
    Fehlende Multifaktor-Authentifizierung für nicht privilegierte Konten MFA bietet starken Schutz von Konten vor schwachen oder gehackten Passwörtern. Best Practices und Standards für Sicherheit empfehlen die Aktivierung von MFA, selbst für nicht-privilegierte Konten. Konten ohne eine registrierte MFA-Methode können nicht von ihr profitieren.
    Fehlende Multifaktor-Authentifizierung für privilegierte Konten MFA bietet starken Schutz von Konten vor schwachen oder gehackten Passwörtern. Best Practices und Standards für Sicherheit empfehlen die Aktivierung von MFA, selbst für nicht-privilegierte Konten. Konten ohne eine registrierte MFA-Methode können nicht von ihr profitieren.
    Multifaktor-Authentifizierung für privilegierte Rolle nicht erforderlich MFA bietet starken Schutz von Konten vor schwachen oder gehackten Passwörtern. Best Practices und Standards für Sicherheit empfehlen, dass Sie MFA aktivieren, insbesondere für privilegierte Konten, denen privilegierte Rollen zugewiesen sind.
    Multifaktor-Authentifizierung für riskante Anmeldungen nicht erforderlich MFA bietet starken Schutz von Konten vor schwachen oder gehackten Passwörtern. Best Practices und Standards für Sicherheit empfehlen, MFA für riskante Anmeldungen zu fordern, zum Beispiel, wenn die Authentifizierungsanforderung möglicherweise nicht vom legitimen Identitätsbesitzer stammt.
    Nie verwendetes Gerät Vermeiden Sie vorab erstellte, nie verwendete Gerätekonten, da sie auf schlechte Hygienepraktiken hinweisen und potenzielle Sicherheitsrisiken darstellen können.
    Nie verwendeter nicht privilegierter Benutzer Nie verwendete nicht privilegierte Benutzerkonten sind anfällig für Kompromittierungen, da sie von Abwehrmaßnahmen häufig nicht erkannt werden. Darüber hinaus sind sie aufgrund ihrer Standardpasswörter ein bevorzugtes Ziel für Angreifer.
    Nie verwendeter privilegierter Benutzer Nie verwendete privilegierte Benutzerkonten sind anfällig für Kompromittierungen, da sie von Abwehrmaßnahmen häufig nicht erkannt werden. Darüber hinaus sind sie aufgrund ihrer Standardpasswörter ein bevorzugtes Ziel für Angreifer.
    Kennwortschutz für On-Premises-Umgebungen nicht aktiviert Microsoft Entra-Kennwortschutz ist eine Sicherheitsfunktion, die Benutzer daran hindert, leicht zu erratende Passwörter festzulegen, um die Passwortsicherheit in einer Organisation insgesamt zu verbessern.
    Namenskonvention für privilegierte Konten Eine Namenskonvention für privilegierte Benutzer in Entra ID ist für Sicherheit, Standardisierung und Audit-Compliance unerlässlich und vereinfacht die Verwaltung.
    Privilegiertes mit Active Directory synchronisiertes Entra-Konto (Hybridkonto) Hybridkonten (d. h. aus Active Directory synchronisierte Konten) mit privilegierten Rollen in Entra ID stellen ein Sicherheitsrisiko dar, da sie es Angreifern, die AD kompromittieren, ein Umschwenken auf Entra ID ermöglichen. Privilegierte Konten in Entra ID müssen reine Cloudkonten sein.
    Privilegiertes Entra-Konto mit Zugriff auf Microsoft 365-Dienste Verwenden Sie separate Entra-Konten für administrative Aufgaben: ein Standardkonto für den täglichen Gebrauch und ein dediziertes privilegiertes Konto für Verwaltungstätigkeiten. Dieser Ansatz minimiert die Angriffsfläche des privilegierten Kontos und verbessert so die Sicherheit.
    Öffentliche Microsoft 365-Gruppe In Entra ID gespeicherte Microsoft 365-Gruppen sind entweder öffentlich oder privat. Öffentliche Gruppen stellen ein Sicherheitsrisiko dar, da jeder Benutzer innerhalb des Mandanten ihnen beitreten und Zugriff auf ihre Daten erhalten kann (Team-Chats/-Dateien, E-Mails usw.).
    Zusätzlichen Kontext in Microsoft Authenticator-Benachrichtigungen anzeigen Aktivieren Sie Microsoft Authenticator-Benachrichtigungen, um zusätzlichen Kontext anzuzeigen, wie z. B. den Anwendungsnamen und den Standort, und so einen besseren Einblick zu erhalten. Dieser zusätzliche Kontext hilft Benutzern, potenziell bösartige Anforderungen zur MFA oder passwortlosen Authentifizierung zu identifizieren und abzuwehren und so das Risiko von MFA-Müdigkeitsangriffen effektiv zu mindern.
    Entra-Gruppe mit nur einem Mitglied Die Erstellung einer Gruppe mit nur einem Mitglied ist nicht ratsam, da dies zu unnötiger Redundanz und Komplexität führt. Durch diese Praxis werden zusätzliche Verwaltungsebenen hinzugefügt, was die Effizienz, die durch Verwendung von Gruppen für eine optimierte Zugriffskontrolle und -verwaltung eigentlich erzielt werden sollte, untergraben kann.
    Verdächtige Zuweisung der Rolle „Verzeichnissynchronisierungskonten” „Verzeichnissynchronisierungskonten“ ist eine privilegierte Entra-Rolle, die in den Azure- und Entra ID-Portalen ausgeblendet ist und in der Regel für Microsoft Entra Connect (früher Azure AD Connect)-Dienstkonten bestimmt ist. Allerdings können böswillige Akteure diese Rolle für verdeckte Angriffe ausnutzen.
    Funktion „Befristeter Zugriffspass“ aktiviert Die Funktion „Befristeter Zugriffspass“ (Temporary Access Pass, TAP) ist eine temporäre Authentifizierungsmethode, die einen zeitlich begrenzten oder eingeschränkt verwendbaren Passcode nutzt. Es handelt sich zwar um eine legitime Funktion, sie sollte jedoch aus Sicherheitsgründen deaktiviert werden, wenn Ihr Unternehmen sie nicht benötigt, um die Angriffsfläche zu reduzieren.
    Uneingeschränkte Gastkonten Standardmäßig schränkt Entra ID den Zugriff von Gastbenutzern ein, um die Menge der für sie sichtbaren Elemente innerhalb des Mandanten zu verringern. Sie können diese Einschränkungen verschärfen, um die Sicherheit und den Datenschutz weiter zu verbessern.
    Uneingeschränkte Benutzereinwilligung für Anwendungen In Entra ID können Benutzer autonom dem Zugriff externer Anwendungen auf Daten der Organisation zustimmen, was böswillige Akteure für Angriffe vom Typ „unzulässige Einwilligungserteilung“ (Consent Phishing) ausnutzen können. Verhindern Sie dies, indem Sie den Zugriff auf verifizierte Herausgeber beschränken oder die Genehmigung eines Administrators erfordern.
    Ungewöhnliche Gültigkeitsdauer des Verbundsignaturzertifikats Eine ungewöhnlich lange Gültigkeitsdauer für ein Verbundsignaturzertifikat ist verdächtig, da sie darauf hinweisen könnte, dass ein Angreifer erhöhte Rechte in Entra ID erlangt und über den Vertrauensstellungsmechanismus des Verbunds eine Backdoor erstellt hat.
    Nicht verifizierte Domäne Bestätigen Sie den Besitz aller benutzerdefinierten Domänen in Entra ID. Behalten Sie nicht verifizierte Domänen nur vorübergehend bei – Sie sollten sie entweder verifizieren oder entfernen, um eine saubere Domänenliste zu führen und effiziente Überprüfungen zu ermöglichen.

Tenable Identity Exposure 3.86 (23.01.2025)

  • Indicator of Exposure – Der neue IoE Entra ID-Hybrid-Informationen bietet Einblicke in Microsoft Entra ID-Daten, die in ein On-Premises Active Directory repliziert werden, und ermöglicht es Organisationen, potenzielle Sicherheitsrisiken zu identifizieren und Richtlinienabweichungen zu beheben.

  • Indicators of Exposure

    • Gefährliche Fehlkonfigurationen von verwalteten Dienstkonten – Dieser IoE wurde verbessert und unterstützt nun auch Gruppen, was eine optimierte Kontrolle des Zugriffs auf ein gMSA ermöglicht.

    • SDProp-Konsistenz sicherstellen – Verbesserte Empfehlungen.

    • Shadow Credentials – Verbesserte Empfehlungen zur Behebung der ROCA-Schwachstelle (Return of Coppersmith's Attack). Einführung einer neuen Option zum Entfernen potenzieller falsch positiver Ergebnisse im Zusammenhang mit Hybridumgebungen mit Entra ID, wenn die Funktion „Geräterückschreiben“ deaktiviert ist. Dies wirkt sich auf den Grund „Verwaiste Schlüssel-Anmeldeinformationen“ in diesem IoE aus.

    • Zwei neue Optionen, mit denen die Kontrolle über Objektbesitzer und -berechtigungen nach Gruppenmitgliedschaft verbessert wird:

    • Zulässiger Objektbesitzer (nach Gruppenmitgliedschaft): Ermöglicht es, Sicherheitsprinzipale über ihre Gruppenmitgliedschaft zu Objektbesitzern zu ernennen.

    • Liste zulässiger Vertrauensnehmer (nach Gruppenmitgliedschaft): Ermöglicht es, Sicherheitsprinzipalen auf der Grundlage ihrer Gruppenmitgliedschaft spezielle Berechtigungen zuzuweisen.

  • Indicator of Attack – Im IoA Golden Ticket wurde der Text des Angriffsvektors verbessert.

  • Attribute und Typen von Vertrauensstellungen in Verzeichnisdiensten

    • Das Attribut trustType unterstützt jetzt den TTAAD-Wert (TRUST_TYPE_AAD).

    • Das Attribut trustAttributes unterstützt jetzt den TDAV-Wert (TRUST_ATTRIBUTE_DISABLE_AUTH_TARGET_VALIDATION).

  • Exportfunktion – Benutzer können das Trennzeichen (Komma oder Semikolon) auswählen, wenn sie einen CSV-Export durchführen, wodurch Flexibilität für verschiedene Anwendungsfälle ermöglicht wird. Der Browser merkt sich das zuletzt verwendete Trennzeichen für zukünftige Exporte.

Tenable Identity Exposure Version 3.86 enthält die folgenden Fehlerkorrekturen:

Fehlerkorrekturen
Die Weboberfläche kann jetzt Sonderzeichen verarbeiten, die in Integritätsprüfungen gemeldet werden.
Der IoE Gefährliche Kerberos-Delegierung enthält jetzt alle belastenden Attribute im Zusammenhang mit einem verwaisten SPN.
Tier0-Knoten in der Asset-Ansicht sind jetzt durchgängig verfügbar.
In Tenable Identity Exposure werden nicht authentifizierte Aufrufe mit internen Diensten jetzt nicht mehr in Aktivitätsprotokollen gespeichert, was für übersichtlichere und präzisere Protokollaufzeichnungen sorgt.
Die Integritätsprüfung für die Datensammler-/Relay-Versionen gilt jetzt als fehlerfrei (grün), wenn die Relay- und die Datensammler-Versionen sowohl im Haupt- als auch in Neben-Updates übereinstimmen oder wenn sie sich in der Nebenversion nur um eins unterscheiden. Dies bietet eine gewisse Flexibilität für automatische Updates oder für Fälle, in denen das Softwareupdate während Rollouts etwas früher erfolgt als das der Plattform.
In Tenable Identity Exposure können Durchforstungen jetzt auch dann erfolgreich abgeschlossen werden, wenn die Erfassung sensibler Daten nicht ordnungsgemäß konfiguriert ist.
In Tenable Identity Exposure wurde die Geschwindigkeit der Windows-Ereignisprotokollanalyse verbessert, wodurch kumulierte Verzögerungen im Produkt verhindert werden. Sie müssen Indicators of Attack neu bereitstellen, um von dieser Änderung zu profitieren.

Tenable Identity Exposure (10.01.2025)

  • Identity 360 – Eine neue identitätszentrierte Funktion in Tenable Identity Exposure bietet eine umfassende und ausführliche Inventarisierung aller Identitäten auf der gesamten identitätsbezogenen Risikofläche der Organisation.

    Diese Funktion vereinheitlicht Identitäten in Active Directory und Entra ID und ermöglicht ihre Einstufung nach dem jeweiligen Risiko, sodass Sie Identitäten in Ihrem Unternehmen vom höchsten zum niedrigsten Risiko einordnen können.

    Darüber hinaus können sich Benutzer mit Identity 360 ein umfassendes Bild von jeder Identität machen, indem sie verschiedene kontextbezogene Aspekte wie Konten, Schwächen und Geräte betrachten, die mit einer bestimmten Identität verbunden sind.

    Weitere Informationen finden Sie unter „Identity 360“ im Tenable Identity Exposure-Benutzerhandbuch.

Tenable Identity Exposure 3.85 (08.01.2025)

Tenable Identity Exposure Version 3.85 enthält die folgenden Fehlerkorrekturen:

Fehlerkorrekturen
Tenable Identity Exposure ruft jetzt das vorherige Attribut pwdLastSet ab, um Zeitspanne zwischen zwei Passwort-Zurücksetzungen bei Angriffen zu berechnen, vor denen der IoA Verdächtige Änderung des DC-Passworts warnt.
In Tenable Identity Exposure wurden die Optionen für den Schwellenwert für die Kontosperrung und die Sperrdauer im IoE Anwendung von schwachen Passwortrichtlinien auf Benutzer so geändert, dass Sie Abweichungen in die Zulassungsliste aufnehmen können, wenn deren Werte gleich 0 sind.
Der IoA OS Credential Dumping löst die IP-Adresse und den Hostnamen der Quelle sowie die IP-Adresse des Ziels jetzt korrekt auf, wenn der Angriff durch NT AUTHORITY\SYSTEM ausgelöst wird.
In Tenable Identity Exposure wurde eine Schwachstelle im Zusammenhang mit der Offenlegung von Anmeldeinformationen behoben, um Administratoren daran zu hindern, gespeicherte Anmeldeinformationen von SMTP-Konten zu extrahieren.