Cloud unter Belagerung: AWS, Azure & GCP kritische Schwachstellen
6 Min. LesezeitKRITISCHE DRINGLICHKEIT
Zusammenfassung
Kritische Sicherheitslücken in AWS IAM Identity Center und Azure Active Directory stellen ein unmittelbares Risiko für Cloud-Umgebungen dar. Google Cloud Platform bestätigt unbefugten Zugriff auf Cloud SQL-Metadaten. Multi-Cloud-Organisationen sehen sich koordinierten Angriffen ausgesetzt, die Vertrauensbeziehungen zwischen Anbietern ausnutzen.
⚡ Fazit: Patchen Sie AWS IAM Identity Center und Azure AD sofort. Prüfen Sie Cloud-übergreifende Vertrauensbeziehungen.
☁️
Kritisch — CVSS 9.8
CVE-2026-22103: AWS IAM Identity Center Authentifizierungs-Bypass
Warum es wichtig ist
Eine kritische Authentifizierungs-Bypass-Sicherheitslücke in AWS IAM Identity Center ermöglicht Angreifern mit Netzwerkzugriff auf föderierte Identitätsanbieter, jede Rolle in verbundenen AWS-Konten zu übernehmen. Aktive Ausnutzung in freier Wildbahn erkannt.
Auswirkung
Beschreibung
Konto-Übernahme
Vollständiger administrativer Zugriff auf alle verbundenen AWS-Konten
Datenexfiltration
Zugriff auf S3, RDS, Secrets Manager und alle Dienste
Persistenz
Erstellung von Backdoor-IAM-Benutzern und -Rollen
Abrechnungsbetrug
Cryptomining und Ressourcenmissbrauch
So schützen Sie sich — Handlungsempfehlungen
AWS-Notfall-Patch über die Identity Center-Konsole sofort anwenden
CloudTrail-Logs auf verdächtige AssumeRole-Ereignisse seit 15. Januar prüfen
AWS CloudTrail Lake für erweiterte Forensik aktivieren
Alle föderierten Identitätsanbieter-Zertifikate rotieren
IAM Access Analyzer für kontoübergreifende Zugriffsprüfung aktivieren
🔵
Kritisch
Azure AD Conditional Access Policy Bypass (CVE-2026-22198)
Warum es wichtig ist
Ein Fehler in der Conditional Access-Evaluierungsengine von Azure Active Directory ermöglicht Angreifern, Geräte-Compliance- und standortbasierte Richtlinien mit manipulierten Authentifizierungstokens zu umgehen. Microsoft bestätigt aktive Ausnutzung gegen Unternehmen mit hybriden Azure AD-Bereitstellungen.
Schlimmster Fall
🔓
MFA-Bypass
Umgehung von MFA-Anforderungen für privilegierte Konten.
📍
Standort-Spoofing
Zugriff von nicht vertrauenswürdigen Standorten/Geräten erscheint legitim.
🔗
SaaS-Kompromittierung
Kompromittierung von Azure AD-verbundenen SaaS-Anwendungen.
So schützen Sie sich — Handlungsempfehlungen
Microsoft Notfall-Sicherheitsupdate KB5034441 anwenden
Continuous Access Evaluation (CAE) für alle kritischen Apps aktivieren
Azure AD-Anmeldeprotokolle auf anomale Token-Claims prüfen
Azure AD Identity Protection risikobasierte Richtlinien implementieren
Microsoft Sentinel Erkennungsregeln für Richtlinien-Bypass-Versuche bereitstellen
🟢
Dringend
Google Cloud SQL Metadaten-Offenlegung Vorfall
Warum es wichtig ist
Google gab unbefugten Zugriff auf Cloud SQL-Instanz-Metadaten bekannt, der Kunden in den Regionen us-central1 und europe-west1 betrifft. Offengelegte Daten umfassen Datenbankverbindungsstrings, IP-Adressen und in einigen Fällen gespeicherte Anmeldedaten.
So schützen Sie sich — Handlungsempfehlungen
Alle Cloud SQL-Datenbank-Anmeldedaten rotieren
Cloud SQL-Instanzen auf unbefugte IP-Whitelisting prüfen
Cloud SQL Insights für Query-Monitoring aktivieren
Sensible Workloads auf Cloud SQL nur mit privater IP migrieren
IAM-Berechtigungen für cloudsql.instances.*-Rollen prüfen
🌐
Aktive Kampagne
Cross-Cloud Vertrauens-Ausnutzungskampagne
Warum es wichtig ist
Der Bedrohungsakteur "CloudHopper 2.0" nutzt aktiv Vertrauensbeziehungen zwischen AWS, Azure und GCP in Multi-Cloud-Umgebungen aus. Der initiale Zugriff erfolgt typischerweise über die am wenigsten gesicherte Cloud, dann Pivot über gemeinsam genutzte Anmeldedaten und föderierte Identitäten.
So schützen Sie sich — Handlungsempfehlungen
Cloud-übergreifende IAM-Rollen und Service-Konten prüfen
Eindeutige Anmeldedaten pro Cloud-Anbieter implementieren
Cloud-native CSPM-Tools für einheitliche Sichtbarkeit bereitstellen
Cloud-Netzwerke auf Identitätsebene segmentieren
Cloud-zu-Cloud VPN- und Peering-Konfigurationen prüfen
📦
Hoch
Terraform State File-Offenlegung durch S3-Fehlkonfiguration
Warum es wichtig ist
Forscher entdeckten 2.400+ öffentlich zugängliche Terraform State-Dateien in S3-Buckets, die Cloud-Anmeldedaten, API-Schlüssel und Infrastrukturdetails enthalten. Viele gehören Fortune-500-Unternehmen.
So schützen Sie sich — Handlungsempfehlungen
S3 Block Public Access auf Kontoebene aktivieren
Terraform State auf verschlüsselte Backends migrieren (S3+DynamoDB mit KMS)
terraform-compliance zur Prüfung von State-Konfigurationen verwenden
AWS Config-Regeln zur Erkennung öffentlicher S3 aktivieren
Führen Sie jetzt einen KENSAI-Scan durch, um zu sehen, ob Ihre Cloud-Infrastruktur betroffen ist