Microsoft verhoogt impact van kritieke Entra ID-kwetsbaarheid naar 10.0

[Captain Kirk]

Microsoft heeft de impact van een kritieke kwetsbaarheid in Entra ID verhoogd naar de maximale score van 10.0. Via het beveiligingslek, gevonden door de Nederlandse beveiligingsonderzoeker Dirk-jan Mollema, was het mogelijk om bijna alle Entra ID-omgevingen te compromitteren. Microsoft kwam op 17 juli met een beveiligingsupdate voor het lek, aangeduid als CVE-2025-55241. Gisteren besloot het techbedrijf de impact van de kwetsbaarheid te verhogen van 9.0 naar 10.0, de maximale score.

Microsoft Entra ID, eerder nog bekend als Azure Active Directory, is een in de cloud draaiende directory and identity management service van Microsoft. Organisaties gebruiken het om hun gebruikers toegang tot Microsoft services te geven. De kwetsbaarheid die Mollema in Entra ID ontdekte bestaat uit twee onderdelen. Het eerste probleem betrof ongedocumenteerde impersonation tokens genaamd "Actor Tokens". Microsoft gebruikt deze tokens in de eigen backend voor service-to-service (S2S) communicatie. Het tweede probleem was dat de (legacy) Azure AD Graph API niet goed de oorspronkelijke Entra ID-omgeving valideerde, waardoor het mogelijk was om met deze tokens toegang tot andere omgevingen te krijgen.

"Wat dit inhoudt is dat met een token dat ik in mijn lab-omgeving opvroeg, ik als elke willekeurige gebruiker kon inloggen, waaronder Global Admins, bij elke andere omgeving", aldus Mollema. De onderzoeker stelt op X dat hij al bijna zeven jaar onderzoek doet naar Microsofts cloud en dit de meest impactvolle kwetsbaarheid is die hij naar verwachting ooit zal vinden.

Diensten die Entra ID voor authenticatie gebruiken, zoals SharePoint Online of Exchange Online, konden vervolgens volledig worden gecompromitteerd. Ook zou het mogelijk zijn om volledige toegang te krijgen tot resources die in Azure worden gehost. Mollema rapporteerde het probleem op 14 juli aan Microsoft, dat op 17 juli met een oplossing kwam. Het techbedrijf benadrukt dat klanten geen actie hoeven te ondernemen. Op 6 augustus rolde Microsoft verdere mitigaties uit. Het techbedrijf maakte op 4 september het bestaan van de kwetsbaarheid bekend.

Op 17 september publiceerde Mollema de details van het probleem. Een dag later stelde Microsoft dat het de complexiteit van de aanval verkeerde had ingeschaald. In plaats van hoog is die aangepast naar laag. Via het Common Vulnerability Scoring System (CVSS) wordt de impact van kwetsbaarheden berekend. In het geval van het Entra ID-lek zorgde de aanpassing ervoor dat de oorspronkelijke impactscore van 9.0 werd veranderd naar de maximale score van 10.0.

 

bron: https://www.security.nl