Критична уязвимост в Microsoft Entra ID

Picture of Здравко Боджов
Здравко Боджов
Уязвимости

Комбинация от остарели компоненти и сериозна уязвимост е можела да предостави на атакуващи пълен достъп до Microsoft Entra ID (бивш Azure Active Directory) на всяка компания по света.

Уязвимостта, регистрирана като CVE-2025-55241, е открита от изследователя по сигурността Дирк-ян Молема (Outsider Security) и включва използването на т.нар. actor tokens – недокументирани токени, съчетани с дефект в Azure AD Graph API.

Какво позволяваше атаката

Злонамерено лице можеше да:

  • имитира всеки потребител в даден Entra ID tenant, включително глобален администратор;

  • получи пълен достъп до всички приложения и услуги, свързани с идентичността – Microsoft 365, Salesforce, Dropbox, Google, Amazon, SAP и др.;

  • извършва действия без почти никакви следи в логовете, освен самите му операции.

Actor токените са издавани от наследената услуга Access Control Service, използвана за автентикация при SharePoint и Exchange. Те са били несигурни по дизайн: неподписани, с валидност 24 часа и невъзможност за отнемане. Допълнително, използването им изцяло заобикаляло правилата за Conditional Access.

Експлоатацията на уязвимостта

Молема установява, че чрез промяна на tenant ID и използване на валидно потребителско ID от друга организация, Azure AD Graph API е приемал actor токена като валиден и връщал чувствителни данни.

Това позволявало на атакуващия да изгради фалшиви токени, да се представи за глобален администратор и да извършва пълен контрол върху целия tenant – създаване/изтриване на акаунти, смяна на пароли, добавяне на нови администратори.

Най-опасното е, че почти всички стъпки от атаката са невидими за жертвата, тъй като логове се генерират едва при конкретни действия в целевия tenant.

Реакцията на Microsoft

Microsoft вече е започнал процес по извеждане от употреба на Azure AD Graph API, като от септември 2025 г. услугата ще бъде окончателно спряна.

След като Молема съобщава проблема на 14 юли, Microsoft реагира в рамките на девет дни и на 4 септември пуска официален пач за CVE-2025-55241, описана като критична уязвимост за ескалация на привилегии в Azure Entra.

Случаят подчертава колко рискови могат да бъдат наследени механизми за автентикация и значението на бързото премахване на остарели API-та. Ако не беше открито навреме, тази комбинация от слабости можеше да компрометира идентичностите на организации по целия свят.

#actor tokens, # Azure AD, # CVE-2025-55241, # Microsoft Entra ID, # уязвимост
По материали от Интернет

Подобни

Apple коригира zero-day уязвимост в dyld
12.02.2026
apple-7446229_640
Критична уязвимост в AI-Notepad за Windows 11
11.02.2026
block-4914911_640
Microsoft разследва срив, блокиращ достъпа до Microsoft 365 Admin Center
11.02.2026
Microsoft-Office-365
Microsoft пусна Windows 11 KB5077181 и KB5075941
11.02.2026
windows-11-6377156_1280
Microsoft пусна Windows 10 KB5075912 с критични корекции
11.02.2026
windows-10-1535765_1280
Microsoft разследва сериозен инцидент в Exchange Online
10.02.2026
how-to-outlook

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Вишинг измами срещу потребители на Revolut
11.12.2025
revolut
Социалните мрежи и младите - между канализиране на общественото мнение и манипулация
7.12.2025
spasov

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.