ISGroup Cybersicherheitsberatung

CVE-2025-55241: Privilegieneskalation in Microsoft Entra ID

Diese kritische Sicherheitslücke in Microsoft Entra ID (ehemals Azure Active Directory), die vom Sicherheitsforscher Dirk-Jan Mollema entdeckt wurde, ermöglichte es Angreifern, sich als beliebige Benutzer, einschließlich globaler Administratoren, über verschiedene Mandanten (Tenants) hinweg auszugeben. Der Fehler resultierte aus zwei interagierenden Problemen:

  1. Actor Tokens: Undokumentierte Token, die von internen Microsoft-Diensten verwendet werden.
  2. Fehler in der Azure AD Graph API: Die veraltete Azure AD Graph API validierte den Ursprungsmandanten von Anfragen nicht, wodurch Actor Tokens eines Mandanten von einem anderen akzeptiert wurden.

Diese Kombination ermöglichte es Angreifern, sich als beliebige Benutzer in Zielmandanten zu authentifizieren.

ProduktMicrosoft Entra ID
Datum22.09.2025 10:22:30
Informationen
  • Korrektur verfügbar

Technische Zusammenfassung

Die Sicherheitslücke ermöglichte es Angreifern:

  • Sich als beliebige Benutzer auszugeben: Einschließlich globaler Administratoren in jedem beliebigen Entra ID-Mandanten.
  • Sicherheitskontrollen zu umgehen: Wie z. B. Richtlinien für bedingten Zugriff (Conditional Access) und Multi-Faktor-Authentifizierung (MFA).
  • Auf sensible Daten zuzugreifen: Einschließlich Benutzerdaten, Details zu Gruppen und Rollen, Mandanteneinstellungen, Anwendungsberechtigungen und Geräteinformationen.
  • Mandantenkonfigurationen zu ändern: Neue Konten zu erstellen, zusätzliche Berechtigungen zu erteilen oder sensible Daten zu exfiltrieren.

Dieser Fehler hätte zur vollständigen Kompromittierung des Mandanten führen können, mit Auswirkungen auf Dienste wie Microsoft 365 und Azure.

Empfehlungen

  • Langfristig unterstreicht der Vorfall zwei operative Lehren für die Cloud-Identität: Die Angriffsfläche durch die Stilllegung veralteter (Legacy) APIs zu verringern und von Identitätsanbietern eine robuste, mandantenbewusste Token-Validierung in Verbindung mit Telemetrie zu fordern.
  • Für Verteidiger sind die sofortigen Maßnahmen einfach: Überprüfen Sie den Patch-Status von Microsoft in Ihrem Mandanten, führen Sie eine Inventarisierung durch und migrieren Sie von der Azure AD Graph API weg. Überprüfen Sie zudem privilegierte Rollen und Service Principals auf unerwartete Änderungen.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *