Evil VM: So läuft ein Angriff ab und so schützen Sie sich

Virtuelle Maschinen bieten eine starke Isolation – doch das allein reicht nicht. Erfolgreiche Evil-VM-Angriffe nutzen Fehlkonfigurationen in Azure und Entra ID aus – nicht etwa die VM-Technologie selbst.

Gelingt Angreifern ein erweiterter Rechtegewinn, können sie Workloads manipulieren, Ressourcen auslesen oder persistente Zugänge etablieren. Die VM dient dabei nur als Sprungbrett, nicht als eigentliche Schwachstelle.

Das US-Sicherheitsunternehmen BeyondTrust hat Angriffsansatz Evil VM ausführlich beleuchtet. Sie zeigen: Konsequent umgesetzte Least-Privilege-Prinzipien, saubere Mandanten- und Rollenabgrenzung sowie harte Identity- und Policy-Kontrollen sind entscheidend.

Bitte anschnallen, es wird technisch: Das ist ein Evil-VM-Angriff

Bei der Angriffsmethode namens Evil VM kompromittiert ein Angreifer ein Gastkonto in Microsoft Entra ID (ehemals Azure AD) und verschafft sich in nur neun Schritten globale Administratorrechte.

Durch ausgenutzte Standardkonfigurationen in Azure-VMs ist es möglich, über ein Gastkonto Zugriff auf sensible Ressourcen zu erlangen – insbesondere durch den Diebstahl von Primary Refresh Tokens (PRT).

Dabei handelt es sich um langlebige Tokens, die beim ersten erfolgreichen Login eines Benutzers auf einem mit Entra ID verbundenen Gerät (z. B. Windows 10 oder 11 mit Azure AD Join oder Hybrid Join) generiert werden.

Der Token ermöglicht anschließend beispielsweise Single Sign-on über verschiedene Anwendungen hinweg.

So gehen Angreifer bei einem Evil-VM-Angriff vor

1. Gastkonto kompromittieren

Ein Angreifer übernimmt ein Gastkonto in einem bestehenden Entra-Tenant (z. B. durch Phishing). Dieses Konto hat keine besonderen Rechte – der Angriff nutzt nur Standardberechtigungen.

2. „Restless Guest“ mit Abrechnungsrechten einladen

Der Angreifer erstellt in einem eigenen Tenant ein Microsoft-Konto mit Kreditkarte. Erstes Problem: Dieses Konto wird automatisch Billing Owner. Das kompromittierte Gastkonto lädt diesen „Restless Guest“ in den Ziel-Tenant ein. Bei diesem unruhigen Gast handelt es sich um eine spezielle Art von B2B-Gastnutzer, der unerwartet weitreichende Rechte in einem fremden Tenant erlangen kann – ohne explizite Zuweisung von Administratorrollen.

Ein Bug? Nein, ein Feature: Diese Fähigkeit basiert auf standardmäßig erlaubten Microsoft-Funktionen und ist ab Werk so gewollt. Diese Lücke ist gefährlich, weil sie nicht durch klassische Rollenprüfungen auffällt und standardmäßig möglich ist – zweites Problem.

^{Erstellt mit Imagen 4}

3. Subscription im Ziel-Tenant erstellen

Der „Restless Guest“ kann nun eine Azure-Subscription in den Ziel-Tenant übertragen. Damit erhält er Owner-Rechte für diese Subscription.

4. Evil VM ohne TPM erstellen

In dieser Subscription wird eine Windows-VM erstellt. Die virtuelle Maschine wird ohne TPM (Trusted Platform Module) konfiguriert – z. B. durch Auswahl von „Gen 1“ und „Standard Security“. Dadurch sind sensible Daten wie Primary Refresh Tokens leichter zu extrahieren.

5. VM mit Entra ID verbinden

Beim Erstellen wird die virtuelle Maschine mit Entra ID verbunden („Azure AD Login“). Dadurch erhält sie eine eigene Geräteidentität.

6. Gerätezertifikate und Schlüssel extrahieren

Der Angreifer hat Admin-Zugriff auf die VM und kann Zertifikate sowie Transport Keys stehlen. Diese Identität kann später als Backdoor genutzt werden – auch auf anderen Geräten.

7. Admin-Konten im Tenant identifizieren

Über die IAM-Rollen (Identity & Access Management) in der Subscription lassen sich die Admins im Tenant identifizieren. So erhält der Angreifer Namen und E-Mail-Adressen, um gezielte Phishing-Angriffe durchzuführen.

8. Phishing über Device Code Flow

Der Angreifer nutzt den OAuth2 Device Code Flow, um einen Admin zur Authentifizierung zu verleiten: Dabei wird ein legitimer Microsoft-Link verwendet und kein bösartiger Redirect! Mit dem gestohlenen Gerätezertifikat kann der Refresh Token zu einem vollwertigen PRT aufgewertet werden.

9. Mit PRT als Admin authentifizieren

Der Angreifer nutzt den PRT, um sich als Admin auszugeben. Dadurch erhält er Zugriff auf die Dienste in Azure, einschließlich des Azure Portals, der webbasierten Management-Konsole.

Schon vor dem Bekanntwerden von Evil VM stehen mittelständische Unternehmen verstärkt im Fokus gezielter Cyberangriffe. Der Grund ist bekannt: Sie verfügen über wertvolle Daten, aber nicht über die Sicherheitsressourcen großer Konzerne.

Ein rein reaktiver Umgang mit IT-Sicherheit greift daher zu kurz. Entscheidend ist ein proaktives Vorgehen, um Schwachstellen frühzeitig zu erkennen und zu schließen, bevor sie ausgenutzt werden.

Nur drei Handgriffe: So verhindern Sie eine Evil-VM-Attacke

1. Gast-Einladungen einschränken: Nur definierte User dürfen Gäste einladen.

2. Subscription-Transfers blockieren: Gäste dürfen keine Subscriptions in den Tenant übertragen.

3. Erkennung aktivieren: Warnungen bei ungewöhnlichen Rollen, die VMs ohne TPM oder Device-Code-Authentifizierungen konfigurieren.

Gemeinsam gegen Evil VM: Auf der sicheren Seite mit einem Managed Service Provider

Komplexe Cloud-Umgebungen wie Microsoft Entra ID bergen Risiken. Eine harmlos wirkende Konfiguration wird schnell zum Einfallstor für weitreichende Angriffe.

Wer hier vorausschauend handelt, schützt seine Infrastruktur und stärkt das Vertrauen von Kunden und Partnern.

Als Managed Service Provider haben wir das Angriffsszenario Evil VM bereits umfassend analysiert und passende Schutzmaßnahmen umgesetzt.

Unter anderem ist es nicht möglich, Azure-Subscriptions in unsere Mandanten zu übertragen – eine zentrale Lücke, die Evil-VM-Angriffe ermöglicht. So tragen wir proaktiv zur Sicherheit unserer Kundenumgebungen bei.

IT-Redakteur
BUCS IT