Microsoft hat die Sicherheitslücke in der Entra-ID behoben, die einen Identitätswechsel als globaler Administrator ermöglichte

Microsoft hat eine kritische Sicherheitslücke in Azure Entra ID ( CVE-2025-55241) behoben, die zunächst als geringfügiger Fehler zur Rechteausweitung beschrieben wurde. Sicherheitsuntersuchungen ergaben später, dass der Fehler weitaus schwerwiegender war und es Angreifern ermöglichte, sich als beliebiger Benutzer auszugeben, einschließlich globaler Administratoren.

Die Schwachstelle wurde ursprünglich vom Cybersicherheitsforscher Dirk-Jan Mollema bei der Vorbereitung von Black Hat- und DEF CON-Präsentationen Anfang des Jahres entdeckt. Seine Erkenntnisse zeigten, dass undokumentierte „Actor-Token“ in Kombination mit einem Validierungsfehler in der alten Azure AD Graph-API missbraucht werden könnten, um sich als jeder beliebige Benutzer in jedem Entra ID-Mandanten auszugeben, sogar als globaler Administrator.

Dies bedeutete, dass ein in einem Labormandanten generiertes Token die administrative Kontrolle über andere gewähren konnte, ohne dass beim Lesen von Daten Warnungen oder Protokolle erstellt wurden und bei vorgenommenen Änderungen nur begrenzte Spuren vorhanden waren.

Das Design der Actor-Token verschärfte das Problem laut Mollema noch weiter. Diese Token werden für die Backend-Kommunikation zwischen Diensten ausgegeben und umgehen normale Sicherheitsvorkehrungen wie Conditional Access. Einmal erhalten, ermöglichten sie die Übernahme anderer Identitäten für 24 Stunden, ohne dass ein Widerruf möglich war.

Microsoft-Anwendungen könnten sie mit Identitätswechselrechten generieren, Nicht-Microsoft-Apps würden dieses Privileg jedoch verweigert. Da die Azure AD Graph-API keine Protokollierung ermöglichte, konnten Administratoren nicht sehen, wann Angreifer auf Benutzerdaten, Gruppen, Rollen, Mandanteneinstellungen, Dienstprinzipale, BitLocker-Schlüssel, Richtlinien usw. zugegriffen haben.

In seinem ausführlichen technischen Blogbeitrag demonstrierte Mollema, dass der Identitätswechsel mandantenübergreifend funktionierte, da die Azure AD Graph API den ursprünglichen Mandanten des Tokens nicht validieren konnte. Durch Ändern der Mandanten-ID und Ansprechen einer bekannten Benutzerkennung (netId) konnte er von seinem eigenen Mandanten zu einem anderen wechseln.

Mit einer gültigen NetId eines globalen Administrators war die vollständige Übernahme von Microsoft 365, Azure-Abonnements und verbundenen Diensten möglich. Schlimmer noch: NetIds konnten schnell mit Brute-Force-Methoden erschlossen oder in einigen Fällen aus Gastkontoattributen bei mandantenübergreifenden Kooperationen abgerufen werden.

Microsoft veröffentlichte am 17. Juli, nur drei Tage nach dem ersten Bericht, einen globalen Fix und fügte später weitere Maßnahmen hinzu, die Anwendungen daran hindern, Actor-Token für den Azure AD Graph anzufordern. Das Unternehmen gab an, in der internen Telemetrie keine Hinweise auf eine Ausnutzung der Schwachstelle gefunden zu haben. Am 4. September wurde die Schwachstelle offiziell als CVE-2025-55241 katalogisiert.

Sicherheitsexperten weisen jedoch darauf hin, dass das Problem allgemeinere Bedenken hinsichtlich des Vertrauens in Cloud-Identitätssysteme aufwirft. Anders Askasan , Director of Product bei Radiant Logic, argumentiert: „Dieser Vorfall zeigt, wie undokumentierte Identitätsfunktionen Zero Trust unbemerkt umgehen können.“

„ Akteur-Token haben eine geheime Hintertür ohne Richtlinien, Protokolle und Transparenz geschaffen und damit die Grundlage des Vertrauens in die Cloud untergraben. Die Schlussfolgerung ist klar: Nachträgliche Patches durch den Anbieter reichen einfach nicht aus“, fügte er hinzu.

„ Um systemische Risiken zu reduzieren, benötigen Unternehmen eine unabhängige Überwachung ihrer gesamten Identitätsstruktur, die Konten, Berechtigungen und Richtlinien kontinuierlich korreliert “ , riet er. „Organisationen benötigen eine vertrauenswürdige, anbieterunabhängige Sicht auf ihre Identitätsdaten und -kontrollen, damit sie diese in Echtzeit validieren und handeln können, bevor ein Angriff zu einem nahezu unlösbaren Sicherheitsverstoß eskaliert.“