Entra ID: Actor-Token-Fehler erlaubte globale Admin-Übernahme in jedem Tenant

Der Sicherheits-Forscher Dirk-Jan Mollema beschreibt in einem Blogartikel eine kritische Schwachstelle in Entra ID, mit der sich mittels undokumentierter „Actor Tokens“ über die Legacy-Azure AD Graph API jede beliebige Identität – bis hin zum Global Admin – in beliebigen Tenants impersonieren ließ. Ursache war eine fehlende Mandanten-Validierung in Azure AD Graph, kombiniert mit von Microsoft-internen Diensten genutzten Actor Tokens für Service-zu-Service-Kommunikation. Diese Tokens unterlaufen Conditional Access, sind 24 Stunden gültig, erzeugen keine Ausgabe-Logs und lassen sich nicht widerrufen; missbrauchte Vorgänge wären im Ziel-Tenant kaum nachvollziehbar gewesen. Microsoft hat die Lücke nach Meldung am 14. Juli 2025 binnen Tagen serverseitig geschlossen und weitere Mitigations ausgerollt; die Schwachstelle wurde als CVE-2025-55241 erfasst.

Der Impact war maximal: Mit einem in einem eigenen Test-Tenant bezogenen Actor Token konnten Angreifer per unsigniertem Impersonation-JWT als beliebige Nutzer/Admins am Azure AD Graph authentifizieren, Verzeichnisdaten auslesen und Änderungen vornehmen (z. B. neue Admin-Konten anlegen, App-Berechtigungen setzen). Besonders heikel: Das Auffinden der für die Impersonation benötigten netId eines Zielnutzers ist praktikabel (u. a. über Gast-Verknüpfungen oder Brute-Force), und Azure AD Graph bietet keine API-Level-Telemetry. Microsoft meldet nach interner Auswertung keinen Missbrauch.

Für Admins gibt es Ansatzpunkte eine Kompromitierung zu erkennen: Schreiboperationen erzeugen Audit-Logs, die durch ein auffälliges Muster erkennbar sind (Aktionen scheinen „vom Global Admin initiiert“, der Anzeigename zeigt aber z. B. „Office 365 Exchange Online“). Der Blogpost liefert eine KQL-Abfrage, um solche Artefakte zu finden. Seit 17. Juli 2025 ist der Fix global aktiv; seit 6. August 2025 sind zusätzliche Begrenzungen in Kraft, die die Ausstellung von Actor Tokens für Azure AD Graph mit Service-Principal-Credentials blocken.

Related Posts

Kritische Schwachstelle in WatchGuard Firebox (CVE-2025-9242)

WatchGuard hat eine kritische Sicherheitslücke in Fireware OS geschlossen. Die Out-of-Bounds-Write-Schwachstelle im iked-Prozess ermöglicht es Angreifern ohne Authentifizierung, aus der Ferne beliebigen Code auszuführen. Betroffen sind Konfigurationen mit IKEv2-basierten VPNs (Mobile User VPN oder Branch Office VPN mit dynamischen Peers).

Read More

Kubernetes: Kritische Schwachstelle in Podman (CVE-2025-9566)

In Podman wurde eine Sicherheitslücke (CVE-2025-9566) entdeckt, die es Angreifern ermöglicht, mit dem Befehl kube play Host-Dateien zu überschreiben. Betroffen sind Szenarien, in denen ein Kube-File eine Secret- oder ConfigMap-Volume-Mount enthält, die wiederum symbolische Links auf Host-Dateien nutzen.

Read More

Kritische SAP-Sicherheitslücke CVE-2025-42957 wird aktiv ausgenutzt

SecurityBridge warnt vor einer gefährlichen Schwachstelle in SAP S/4HANA: Die Code-Injection-Lücke CVE-2025-42957 (CVSS 9.9) ermöglicht es bereits Nutzern mit geringen Berechtigungen, die komplette SAP-Umgebung zu übernehmen – inklusive Betriebssystemzugriff.

Read More