Dirk-jan Mollema, az Outsider Security cég kiberbiztonsági kutatója felfedezett egy token érvényesítési sebezhetőséget, amely lehetővé tette volna a teljes hozzáférés megszerzését bármely Entra ID tenanthoz. A probléma két elemből állt: a régi Access Control Service által kibocsátott, úgynevezett Actor tokens- ekből és egy validációs hibából az elavult Azure AD Graph API-ban (CVE-2025-55241).
A sérülékenységet kihasználó támadó rendkívül érzékeny adatokhoz férhetett volna hozzá anélkül, hogy bármilyen nyomot hagyott volna magáról az Entra ID naplóiban, kivéve a közvetlenül végrehajtott műveleteket.
Az Entra ID a Microsoft felhőalapú identitás- és hozzáférés-kezelési (identity and access management – IAM) szolgáltatása, korábbi nevén Azure Active Directory (Azure AD). Ez biztosítja a szervezetek számára az egyszeri bejelentkezést, a többtényezős hitelesítést és a biztonsági kontrollokat az alkalmazások és erőforrások felett. Egy dedikált Entra ID tenant egyetlen szervezetet képvisel, és kezeli mind a helyszíni, mind a felhőalapú alkalmazások biztonságos hozzáférését, beleértve a Microsoft 365 szolgáltatásokat, valamint olyan SaaS-megoldásokat, mint a Salesforce, Dropbox, Google, Amazon vagy az SAP rendszerek.
Egy technikai blogbejegyzésben Mollema kifejtette, hogy az Actor tokeneket a régi Access Control Service bocsátja ki, amelyet SharePoint alkalmazásokhoz használtak, és amelyet a Microsoft belsőleg is alkalmaz. A kutató hibrid Exchange-konfigurációk vizsgálata közben fedezte fel őket, és észrevette, hogy az Exchange más szolgáltatásokkal való kommunikáció során kérte ezeket, amikor felhasználók nevében hajtott végre műveleteket.
Az Actor tokenek nem rendelkeznek kriptográfiai aláírással, így lehetővé teszik bármely felhasználó szerepkörének átvételét egy tenantban. 24 órás élettartammal bírnak, és ezen időszak alatt nincs lehetőség a visszavonásukra.
A Microsoft belsőleg is használja az Actor tokeneket service-to-service kommunikációhoz, de a vállalat már tervezi azok kivezetését. A gyártó ezeket „high-privileged access (HPA)” tokeneknek nevezi.
Mollema több kísérlet során azt tapasztalta, hogy amikor az Actor token tenant ID-ját megváltoztatta, majd elküldte az elavult Azure AD Graph API-nak (graph[.]windows[.]net), az API nem egy „hozzáférés megtagadva” üzenettel válaszolt, hanem jelezte, hogy a token érvényes, csak a felhasználó identitása nem található a tenantban. Amikor a kutató egy érvényes netId-t adott meg a cél tenantból, az API visszaadta a kért adatokat. Ezzel a módszerrel Mollema képes volt a Global Admin szerepkör átvételére, és a hozzá tartozó műveletek végrehajtására:
- felhasználók létrehozása és kezelése,
- konfigurációk módosítása,
- jelszavak visszaállítása, valamint
- további adminisztrátorok hozzáadása.
A Microsoft 2023 szeptemberében elindította az Azure AD Graph API kivezetési folyamatát, és 2025 szeptemberétől a szolgáltatás véglegesen megszűnik. Mollema július 14-én jelentette a sebezhetőséget, a Microsoft pedig kilenc nappal később megerősítette a javítást. Szeptember 4-én kiadták a CVE-2025-55241 javítását is, amelyet kritikus jogosultság-eszkalációs sebezhetőségként írtak le az Azure Entrában.
