Microsoft ha risolto la vulnerabilità dell'ID Entra che consentiva l'impersonificazione dell'amministratore globale

Microsoft ha risolto una vulnerabilità di sicurezza critica in Azure Entra ID, identificata come CVE-2025-55241 , inizialmente descritta come un bug di escalation dei privilegi a basso impatto. In seguito, le ricerche sulla sicurezza hanno rivelato che la falla era molto più grave, consentendo agli aggressori di impersonare qualsiasi utente, inclusi gli amministratori globali.

La vulnerabilità è stata originariamente identificata dal ricercatore di sicurezza informatica Dirk-Jan Mollema durante la preparazione delle presentazioni al Black Hat e al DEF CON all'inizio di quest'anno. Le sue scoperte hanno mostrato che "token attore" non documentati, combinati con un errore di convalida nella legacy Azure AD Graph API, potevano essere sfruttati per impersonare qualsiasi utente in qualsiasi tenant Entra ID, persino un amministratore globale.

Ciò significava che un token generato in un tenant di laboratorio poteva garantire il controllo amministrativo sugli altri, senza avvisi o registri se si trattava solo di leggere i dati e con tracce limitate se venivano apportate modifiche.

La progettazione dei token Actor, secondo Mollema, ha aggravato ulteriormente il problema. Questi token vengono emessi per la comunicazione back-end tra servizi e aggirano le normali protezioni di sicurezza come l'Accesso Condizionato. Una volta ottenuti, consentivano l'impersonificazione di altre identità per 24 ore, durante le quali non era possibile alcuna revoca.

Le applicazioni Microsoft potrebbero generarli con diritti di impersonificazione, ma alle app non Microsoft verrebbe negato tale privilegio. Poiché l'API Graph di Azure AD non disponeva di funzionalità di registrazione, gli amministratori non avrebbero potuto vedere quando gli aggressori avevano effettuato l'accesso a dati utente, gruppi, ruoli, impostazioni dei tenant, entità servizio, chiavi BitLocker, criteri, ecc.

Nel suo dettagliato post tecnico sul blog , Mollema ha dimostrato che l'impersonificazione funzionava su più tenant perché l'API Graph di Azure AD non riusciva a convalidare il tenant di origine del token. Modificando l'ID tenant e prendendo di mira un identificatore utente noto (netId), poteva passare dal proprio tenant a qualsiasi altro.

Con un netId valido di un amministratore globale, si apriva la porta al controllo completo di Microsoft 365, degli abbonamenti Azure e dei servizi connessi. Peggio ancora, i netId potevano essere rapidamente forzati o, in alcuni casi, recuperati dagli attributi degli account guest nelle collaborazioni tra tenant.

Microsoft ha implementato una correzione globale il 17 luglio, appena tre giorni dopo la segnalazione iniziale, e in seguito ha aggiunto ulteriori mitigazioni che impediscono alle applicazioni di richiedere token Actor per Azure AD Graph. L'azienda ha dichiarato di non aver trovato alcuna prova di sfruttamento nella sua telemetria interna. Il 4 settembre, la vulnerabilità è stata ufficialmente catalogata come CVE-2025-55241.

Gli esperti di sicurezza, tuttavia, affermano che il problema solleva preoccupazioni più ampie sulla fiducia nei sistemi di identità cloud. Anders Askasan , Direttore di Prodotto di Radiant Logic, ha affermato che "Questo incidente dimostra come funzionalità di identità non documentate possano aggirare silenziosamente Zero Trust ".

" I token degli attori hanno creato una backdoor ombra senza policy, senza log, senza visibilità, minando le fondamenta stesse della fiducia nel cloud. La conclusione è chiara: applicare patch a posteriori ai vendor non è sufficiente", ha aggiunto.

" Per ridurre il rischio sistemico, le aziende necessitano di un'osservabilità indipendente sull'intero sistema di identità, correlando costantemente account, diritti e policy " , ha consigliato. "Le organizzazioni necessitano di una visione affidabile e indipendente dal fornitore dei propri dati e controlli di identità, in modo da poter convalidare in tempo reale e agire prima che un'incursione avversaria si trasformi in una violazione quasi impossibile da porre fine".