Microsoft: Hacker konnten weltweit beliebige Entra-ID-Tenants kapern
Der Sicherheitsforscher Dirk-Jan Mollema hat eine gefährliche Sicherheitslücke in der von vielen Unternehmen genutzten cloudbasierten Identitäts- und Zugriffsverwaltungsplattform Microsoft Entra ID entdeckt. Wie der Forscher in einem Blogbeitrag(öffnet im neuen Fenster) schildert, konnte er damit weltweit so ziemlich jeden Entra-ID-Tenant kompromittieren – mit Ausnahme nationaler Cloud-Deployments, die er lediglich mangels Zugriff nicht testen konnte.
Mollema beschreibt seine Entdeckung als "wohl bedeutendste Entra-ID-Sicherheitslücke, die ich jemals finden werde" . Registriert ist diese als CVE-2025-55241(öffnet im neuen Fenster) und mit einem CVSS-Wert von 9,0 als kritisch eingestuft. Microsoft selbst nennt keine technischen Details und erklärt nur, es handle sich um eine bereits gepatchte Rechteausweitungsschwachstelle in Azure Entra.
Unbemerkter Vollzugriff aus der Ferne
Laut des Forschers basiert der Angriff auf dem Missbrauch eines nicht dokumentierten sogenannten Actor-Token, den Microsoft in seinem Backend für die Service-to-Service-Kommunikation (S2S) verwendet, sowie einem kritischen Bug in der Graph-API für Azure AD. Der Forscher konnte nach eigenen Angaben einen Actor-Token eines eigenen Tenants nutzen, um auf beliebige andere Tenants zuzugreifen.
Dort habe er sich mit dem Token als beliebiger Benutzer authentifizieren können, einschließlich eines solchen mit administrativen Rechten. Nach eigenen Angaben konnte der Forscher dadurch an fremden Tenants beliebige Änderungen vornehmen, einschließlich der Übernahme oder Erstellung neuer Identitäten sowie der Erteilung beliebiger Berechtigungen.
Mollema betont, dass der Zugriff über einen Actor-Token zudem nicht protokolliert wird. "Selbst wenn dies der Fall wäre, würden die Logeinträge in meinem eigenen Tenant statt in jenem des Opfers erzeugt werden, was bedeutet, dass es keine Aufzeichnungen über die Existenz dieser Token gibt" , schreibt der Forscher.
Auch auf Ebene der Graph-API gebe es keine Protokollierung, so dass der lesende Datenzugriff etwa auf Nutzer, Gruppen, Einstellungen oder synchronisierte Bitlocker-Keys keinerlei Spuren hinterlasse. Lediglich manipulative Eingriffe über ein Administratorkonto hinterließen Einträge in den Audit-Protokollen. Diese seien jedoch von legitimen Aktionen echter Admins nicht zu unterscheiden.
Innerhalb weniger Tage gepatcht
Die Kompromittierung eines fremden Tenants setzt zwar die Kenntnis der zugehörigen Tenant-ID voraus. Wie Mollema ausführt, lässt sich diese aber anhand der zugehörigen Domain sowie öffentlicher APIs bestimmen. Die ebenfalls erforderliche NetID eines Nutzers aus dem anvisierten Tenant soll sich zudem innerhalb weniger Minuten bis Stunden per Brute Forcing ermitteln lassen.
Der Forscher betont auch, dass Administratoren sich vor dem von ihm beschriebenen Angriff kaum hätten schützen können: "Aufgrund der Beschaffenheit der Actor-Token unterliegen sie keinen Sicherheitsrichtlinien wie dem bedingten Zugriff, was bedeutet, dass es keine Einstellung gab, die dies für bestimmte gehärtete Tenants hätte abmildern können."
Microsoft hat jedoch schnell reagiert und das Problem innerhalb weniger Tage behoben. An den Konzern gemeldet hat Mollema seine Entdeckung am 14. Juli 2025. Nur drei Tage später stellte Microsoft einen ersten Fix bereit. Am 6. August folgten ein paar weitere Sicherheitskorrekturen. Rund einen Monat später kommunizierte Microsoft(öffnet im neuen Fenster) die Sicherheitslücke erstmals öffentlich.
- Anzeige Hier geht es zu Deep Learning mit Microsoft Azure bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.