[English]Noch ein kleiner Nachtrag von dieser Woche. Zum 17. September 2025 wurden die Details der Schwachstelle CVE-2025-55241 in Microsoft Entra ID öffentlich. Über die Schwachstelle hätte jeder Angreifer sich Tokens holen können, um für jeden Tenant die Global Administrator-Rolle übernehmen zu können.
Entra ID Schwachstelle CVE-2025-55241
Das Ganze ist etwas an mir vorbei gegangen. Entra ID ist der Identitäts- und Zugriffsverwaltungsdienst, den Microsoft für Azure oder Microsoft 365 verwendet. Zum 4. September 2025 hatte Microsoft einen Beitrag zur Schwachstelle CVE-2025-55241 in Microsoft Entra ID veröffentlicht. Es handelt sich um einen Privilege Escalation Schwachstelle in Azure Entra. So richtig viele Details gab es nicht, nur dass die Nutzer keine Aktionen ausführen müssen und es keine Ausnutzung gäbe. Die Schwachstelle wurde bereits im Juli 2025 geschlossen. Etwas mulmig werden sollte Azure Entra-Nutzern der CVSS 3.1 Score von 10.0.
Entra ID ermöglicht Tenant-Übernahme
Die Brisanz des Ganzen wurde erst zum 17. September 2025 öffentlich – der Entdecker der Schwachstelle, Dirk-jan Mollema, das Ganze im Blog-Beitrag One Token to rule them all – obtaining Global Admin in every Entra ID tenant via Actor tokens öffentlich machte.
Tomas Jakobs und weitere Blog-Leser hatten im Diskussionsbereich des Blogs auf den Sachverhalt und auch auf diesen heise-Beitrag hingewiesen (danke dafür). Die kompakte Fassung dessen, was entdeckt wurde: Bei der Vorbereitung für Vorträge auf der Black Hat und der DEF CON im Juli 2025 stieß Dirk-jan Mollema auf die bedeutendste Entra-ID-Sicherheitslücke, die vorstellbar ist.
Er war in der Lage, über eine Sicherheitslücke weltweit jeden öffentlich erreichbaren Entra-ID-Tenant zu kompromittieren und diesen als Global Administrator vollständig zu übernehmen. Die Sicherheitslücke bestand aus zwei Komponenten:
- Undokumentierten Identitäts-Tokens, sogenannten "Actor-Tokens", die Microsoft in seinem Backend für die Service-to-Service-Kommunikation (S2S) verwendet.
- Darüber hinaus gab es einen kritischen Fehler in der (alten) Azure AD Graph API, die den ursprünglichen Tenants nicht ordnungsgemäß validierte, sodass diese Tokens für den mandantenübergreifenden Zugriff verwendet werden konnten.
So konnte Dirk-jan Mollema in seinem Lab-Tenant ein Access-Token anfordern, mit dem er sich als beliebiger Benutzer an jedem anderen Tenant (selbst als Globale Admin) authentifizieren konnte. Aufgrund der Beschaffenheit dieser Actor-Token unterliegen diese keinen Sicherheitsrichtlinien wie Conditional Access. Das bedeutet, dass es keine Einstellung gab, die dies für bestimmte gehärtete Mandanten hätte abmildern können.
Und noch brisanter: Die Anforderung von Actor-Tokens erzeugt keine Spuren in Protokollen. Aber selbst wenn ein Eintrag im log erzeugt würde, wäre die Anforderung des Access-Token im Tenant des Angreifers und nicht im Tenant des übernommenen Opfers protokolliert worden. Das bedeutet, dass es keine Aufzeichnungen über die Existenz dieser Tokens gab.
Mit diesen kompromittierten Identitäten hätte der Zugriff auch auf Microsoft 365 und Azure ausgeweitet werden können. Details lassen sich dem Beitrag des Entdeckers (englisch) oder dem heise-Beitrag (deutsch) entnehmen. Der Entdecker hat diese Sicherheitslücke CVE-2025-55241 noch am selben Tag dem Microsoft Security Response Center (MSRC) gemeldet. Und diese Sicherheitslücke wurde durch Microsoft innerhalb weniger Tage nach Meldung geschlossen. Zudem wurden weitere Abhilfemaßnahmen eingeführt, die Anwendungen daran hindern, diese Actor-Token für die Azure AD Graph API anzufordern.
Ergänzung: Im Nachgang bin ich auf obigen Tweet gestoßen. Mehmet Ergene hat auf GitHub den Beitrag Potential Actor Token Abuse In Entra ID veröffentlicht. Der Beitrag enthält Abfragen in Kusto Query Language (KQL) für Microsoft Sentinel / Defender XDR, um Audit-Logs auf Aktivitäten zu prüfen, bei denen ein Actoken Token verwendet wird, die Aktivität jedoch nicht von Microsoft 365-IP-Adressen stammt. Service-to-Service-Vorgänge (S2S) sollten von Microsoft-IP-Adressen stammen.
Security by Redmond – löchrig wie Käse?
Ja, die Schwachstelle wurde binnen Tagen gefixt und ist jetzt nicht mehr vorhanden. Aber man muss sich die Vorstellung auf der Zunge zergehen lassen: Da kann jemand ein Access Token anfordern und damit weltweit über alle Tenants fuhrwerken und dann diese als Global Administrator übernehmen. Platt ausgedrückt: Microsoft Entra ID ist schlicht kaputt.
Mir fallen da die Episoden China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt und Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert ein. Die Fälle waren zwar anders gelagert, aber da spazierten Angreifer auch über die interessierenden Tenants.
Weiterhin hatte ein Blog-Leser hatte in den Kommentaren auf meinen Blog-Beitrag Exchange Online- und MS365-Probleme durch Schwachstelle? (März 2025) verwiesen, wo ich einen kruden Sachverhalt schilderte, der einem armen Tenant-Administrator passierte. Der ließ sich von ChatGPT ein Script erstellen, was dann bei der Ausführung – so stellt es sich dar – andere Tenants "in den digitalen Orkus" schickte und von Microsoft gestoppt werden konnte. Der Bericht wurde zwar "ins Reich der Phantasie" verortet – aber mit obigen Erkenntnissen bleibt die Frage "was kommt den noch, und was lauert noch unentdeckt in Entra ID?".
Bei den Vorkommnissen, die ich in der Linkliste am Artikelende erwähnte, schlugen zwar einige Politiker Alarm und Microsoft gelobte Besserung – u.a. mit der Secure Future Initiative. Aber man muss schon zittern, wann der nächste Klops ans Tageslicht kommt. Da passt das Thema, was die Kollegen von Bleeping Computer die Tage im Beitrag U.S. Senator accuses Microsoft of "gross cybersecurity negligence" angesprochen haben. Der Vorwurf: "grobe Fahrlässigkeit im Bereich Cybersicherheit" bei Microsoft. Wobei wir jetzt das Pech haben, dass Microsoft auch in Europa eingesetzt wird.
Ähnliche Artikel:
Microsoft 365 Störung (1. März 2025)
Hält die Microsoft 365/Exchange Online-Störung vom 1. März 2025 auch am 3. März 2025 an?
Outlook auch am 6. März 2025 gestört
Schwachstelle Ursache für Exchange Online- und MS 365-Probleme seit 1. März 2025?
Exchange Online- und MS365-Probleme durch Schwachstelle? (März 2025)
China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt
Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln
GAU: Geklauter AAD-Schlüssel ermöglichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten
Microsofts Cloud-Hack: Überprüfung durch US Cyber Safety Review Board
Microsoft Cloud-Hack durch Storm-0548: US-Senatoren unter den Opfern; Prüfpflicht für europäische Verantwortliche
Microsofts Storm-0558 Cloud-Hack: Schlüssel stammt aus Windows Crash Dump eines PCs
Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert
Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt
Microsoft bestätigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen
Midnight Blizzard-Hack bei Microsoft: US-Behörden und Großkunden suchen Alternativen
Rüffel für Microsoft: Kaskade an Fehlern für Storm-0558 Cloud-Hack verantwortlich
Microsoft untersucht, ob SharePoint 0-day vorab an Hacker geleakt wurde
Krass: Microsoft lässt die Cloud des US-Verteidigungsministeriums durch chinesische Software-Ingenieure warten
Microsoft beendet die Cloud-Wartung des US-Verteidigungsministeriums durch chinesische Software-Ingenieure
Neue Insights zum SharePoint-Gate: Mitarbeiter aus China für die Wartung
Microsoft schränkt Chinas frühzeitigen Zugriff auf Schwachstellen ein
Dieser Beitrag wurde unter Cloud, Sicherheit abgelegt und mit Cloud, Entra ID, Microsoft, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.
