Microsoft łata w Entra ID krytyczną lukę, umożliwiającą podszywanie się?

[Muchomorek]

Pod  Global Admina .  Azure
    cve-2025-55241
    EntraID
    globalAdmin
    microsoft

Microsoft potwierdził, że 17 lipca 2025 r. wprowadził poprawkę do krytycznej podatności, oznaczonej jako CVE-2025-55241. Luka w Entra ID umożliwiała atakującym przejęcie uprawnień dowolnego użytkownika – włącznie z Global Administratorami – we wszystkich tenantach (być może poza środowiskami rządowymi), bez konieczności posiadania wcześniej znanych uprawnień na koncie ofiary.

Data dodania: 23 wrz 2025 08:05.

Spis treści

    Na czym polegał problem? Dwuczęściowa podatność
    Potencjalny zakres ataku i brak śladów
    Naprawa i działania Microsoftu
    Wnioski i rekomendacje

Na czym polegał problem? Dwuczęściowa podatność

Luka wynikała z połączenia dwóch elementów pochodzących ze starszych komponentów Microsoft.

Pierwszym był mechanizm wydawania tokenów typu Actor Tokens, używany przez usługę service-to-service (S2S) – Access Control Service (ACS). Mechanizm ten pierwotnie miał obsługiwać wewnętrzne komunikacje między usługami Microsoftu.

Drugim był przestarzały Azure AD Graph API (graph.windows.net), który nie weryfikował w sposób poprawny, z którego tenantu pochodzi token ,,Actor". W efekcie możliwość użycia tokenu z własnego (atakującego) tenantu do uzyskania dostępu (nawet jako Global Admin) do zasobów cudzych tenantów stała się realna.
Potencjalny zakres ataku i brak śladów

Eksperci podkreślają, że zagrożenie było wyjątkowo wysokie. Używając wspomnianych tokenów, atakujący mógł:

    wykonywać operacje odczytu i zapisu w katalogu Entra ID,
    tworzyć nowych użytkowników i nadawać im role administracyjne,
    modyfikować ustawienia tenantów,
    uzyskiwać dostęp do danych aplikacji, urządzeń i polityk bezpieczeństwa (np. BitLocker, synchronizowane urządzenia).

Co ważne, większość tych działań nie była rejestrowana na poziomie victim tenant — tokeny typu Actor były wydawane, używane, a ich działania często omijały zwykłe mechanizmy zabezpieczeń, takie jak Conditional Access, MFA czy logowanie zdarzeń.
Naprawa i działania Microsoftu

Po zgłoszeniu problemu przez analityka Dirka-jana Mollemy 14 lipca Microsoft zareagował bardzo szybko. Już 17 lipca wprowadzono poprawkę, która łata dziurę w walidacji tokenów i ogranicza użycie Actor Tokens w Graph API. Korporacja potwierdziła, że w sierpniu skorygowała wrażliwy kod oraz wdrożyła dodatkowe zabezpieczenia.

Ponadto Microsoft podjął działania związane z wycofywaniem przestarzałych API  Azure AD Graph API został oficjalnie wycofany 31 sierpnia 2025 r., co zmusza twórców aplikacji do migracji do nowszego Microsoft Graph, który ma silniejsze mechanizmy walidacji i bezpieczeństwa.
Wnioski i rekomendacje

Pojawienie się tej podatności to przypomnienie, jak istotna jest ciągła weryfikacja środowisk chmurowych i aktualność komponentów infrastruktury tożsamościowej. Firmy powinny przede wszystkim upewnić się, że:

    żadne aplikacje i usługi nie korzystają już z przestarzałego Azure AD Graph API,
    zastosowane polityki bezpieczeństwa (Conditional Access, MFA) nie mogą być ominięte przez starsze mechanizmy backendowe,
    komunikacja między usługami service-to-service jest przeglądana pod kątem użycia tokenów typu Actor lub innych podobnych mechanizmów, które mogą nie być objęte normalnym monitoringiem lub logowaniem,
    wdrażany jest szczegółowy monitoring logów związanych z dostępem administracyjnym, operacjami krytycznymi oraz dostępami wydarzeniowymi w kontekstach tenantów,
    organizacje przyjmują zasadę najmniejszych uprawnień (least privilege) w konfiguracji swoich tenantów oraz ograniczają możliwość wystawienia uprawnień Global Admin do minimum – tylko dla tych tożsamości, które tego naprawdę wymagają.

żródło  Nie masz uprawnień do wyświetlania linków. Zarejestruj się lub Zaloguj
You cannot view this attachment.
You cannot view this attachment.