Een Nederlandse beveiligingsonderzoeker heeft een kwetsbaarheid ontdekt die cybercriminelen systemen liet overnemen.
Microsoft heeft een ernstig beveiligingslek opgelost in de cloudservice Entra ID. Dat liet cybercriminelen toe om de volledige controle te krijgen over alle Entra ID-tenants wereldwijd.
Niet traceerbare tokens
De kwetsbaarheid, CVE-2025-55241, werd in juli ontdekt en al binnen enkele dagen door Microsoft verholpen. Beveiligingsonderzoeker Dirk-Jan Mollema beschrijft in zijn blog dat dit “waarschijnlijk de meest ingrijpende Entra ID-kwetsbaarheid” die ooit is gevonden.
De aanval werd mogelijk gemaakt door Actor tokens. Dat zijn interne tokens die Microsoft-diensten gebruiken om namens een gebruiker acties uit te voeren. Ze zijn niet bedoeld voor extern gebruik en worden normaal niet gelogd of beperkt door beveiligingsmaatregelen.
Door een fout in de verouderde programmeerinterface van Azure AD Graph werden die tokens niet genoeg gecontroleerd. Die interface werd nog steeds gebruikt om in te loggen via Entra ID. Daardoor konden cybercriminelen hun eigen tokens gebruiken, zodat hij acties kon uitvoeren in andere tenants. Daardoor werd het makkelijk om in te breken in die andere tenants en zich daar beheerdersrechten te krijgen. Dat wil zeggen dat een aanvaller nieuwe accounts kon aanmaken, rechten toekennen, of Microsoft 365-diensten gebruiken die in die tenant gebruikt worden.
Snel ingegrepen
De kwetsbaarheid werd op 14 juli gemeld en drie dagen later had Microsoft al een wereldwijde fix uitgerold. Volgens Microsoft zijn er geen aanwijzingen dat de kwetsbaarheid in Entra ID actief is misbruikt. Begin augustus volgden extra maatregelen: het aanvragen van Actor tokens voor de Azure AD Graph API is nu geblokkeerd, en het valideren van tenant-ID’s is uitgebreider geworden.