Microsoft heeft een Entra ID-kwetsbaarheid opgelost waardoor globale beheerders zich konden voordoen als een persoon

Microsoft heeft een kritiek beveiligingslek in Azure Entra ID aangepakt, gevolgd als CVE-2025-55241 , dat aanvankelijk werd omschreven als een bug met beperkte rechtenescalatie. Beveiligingsonderzoek wees later uit dat het lek veel ernstiger was, waardoor aanvallers zich konden voordoen als elke andere gebruiker, inclusief globale beheerders.

De kwetsbaarheid werd oorspronkelijk ontdekt door cybersecurityonderzoeker Dirk-Jan Mollema tijdens de voorbereiding van Black Hat- en DEF CON-presentaties eerder dit jaar. Zijn bevindingen toonden aan dat ongedocumenteerde "Actor-tokens", in combinatie met een validatiefout in de oude Azure AD Graph API, misbruikt konden worden om zich voor te doen als elke gebruiker in elke Entra ID-tenant, zelfs een Global Administrator.

Dit betekende dat een token die in één lab-tenant werd gegenereerd, administratieve controle over anderen kon verlenen, zonder waarschuwingen of logboeken als er alleen gegevens werden gelezen, en met beperkte sporen als er wijzigingen werden aangebracht.

Het ontwerp van Actor-tokens, aldus Mollema, maakte het probleem nog erger. Deze tokens worden uitgegeven voor backend service-to-service communicatie en omzeilen normale beveiligingsmaatregelen zoals voorwaardelijke toegang. Eenmaal verkregen, konden ze zich 24 uur lang voordoen als andere identiteiten, zonder dat intrekking mogelijk was.

Microsoft-applicaties konden deze genereren met imitatierechten, maar niet-Microsoft-apps kregen dit recht niet. Omdat de Azure AD Graph API geen logging had, konden beheerders niet zien wanneer aanvallers toegang kregen tot gebruikersgegevens, groepen, rollen, tenantinstellingen, service-principals, BitLocker-sleutels, beleidsregels, enzovoort.

In zijn gedetailleerde technische blogpost demonstreerde Mollema dat imitatie voor meerdere tenants werkte, omdat de Azure AD Graph API de oorspronkelijke tenant van het token niet kon valideren. Door de tenant-ID te wijzigen en een bekende gebruikers-ID (netId) te targeten, kon hij van zijn eigen tenant naar een andere tenant overstappen.

Met een geldige netID van een globale beheerder kon de deur worden geopend naar volledige overname van Microsoft 365, Azure-abonnementen en verbonden services. Erger nog, netID's konden snel met brute force-aanvallen worden geforceerd of, in sommige gevallen, worden opgehaald uit gastaccountkenmerken in samenwerkingen tussen tenants.

Microsoft rolde op 17 juli een wereldwijde oplossing uit, slechts drie dagen na het eerste rapport, en voegde later verdere maatregelen toe die voorkomen dat applicaties Actor-tokens aanvragen voor Azure AD Graph. Het bedrijf meldde dat er geen bewijs van misbruik werd gevonden in de interne telemetrie. Op 4 september werd de kwetsbaarheid officieel gecatalogiseerd als CVE-2025-55241.

Beveiligingsprofessionals stellen echter dat de kwestie bredere zorgen over vertrouwen in cloudidentiteitssystemen blootlegt. Anders Askasan , productdirecteur bij Radiant Logic, stelde: "Dit incident laat zien hoe ongedocumenteerde identiteitskenmerken Zero Trust stilletjes kunnen omzeilen."

" Actortokens creëerden een schaduwachterdeur zonder beleid, zonder logs, zonder zichtbaarheid, en ondermijnden daarmee de basis van vertrouwen in de cloud. De les is duidelijk: achteraf patchen door leveranciers is simpelweg niet voldoende", voegde hij eraan toe.

" Om systeemrisico's te verminderen, hebben bedrijven onafhankelijke observatiemogelijkheden nodig in hun gehele identiteitsstructuur, waarbij accounts, rechten en beleid continu met elkaar in verband worden gebracht " , adviseerde hij. "Organisaties hebben een betrouwbaar, leveranciersonafhankelijk beeld nodig van hun identiteitsgegevens en -controles, zodat ze in realtime kunnen valideren en actie kunnen ondernemen voordat een inbreuk escaleert tot een inbreuk die vrijwel onmogelijk te herstellen is."