Selon Cyber Security News, une vulnérabilité critique (CVE-2025-55241) découverte en juillet 2025 par Dirk-jan Mollema et désormais corrigée par Microsoft, permettait à un attaquant de s’octroyer des privilèges d’administrateur global sur n’importe quel tenant Entra ID.

  • Nature de la faille ⚠️: combinaison d’un mécanisme d’authentification legacy via des Actor tokens (jetons internes non soumis aux politiques de sécurité classiques comme le Conditional Access) et d’un défaut de validation dans l’API Azure AD Graph (ancienne API) qui n’assurait pas que le jeton provenait du même tenant.

  • Impact: possibilité d’usurper tout utilisateur, y compris les Global Administrators, et d’obtenir un contrôle illimité sur le tenant ciblé. Accès étendu aux services Microsoft 365 (Exchange Online, SharePoint Online) et aux ressources Azure. Exfiltration furtive possible de nombreuses données sans traces côté victime, notamment: informations utilisateurs, rôles et groupes, configuration et politiques de sécurité du tenant, données d’applications et de Service Principals, informations des appareils et clés de récupération BitLocker.

  • Discrétion de l’attaque: la lecture via ces jetons ne générait aucun log dans le tenant victime. Les modifications (ex. création d’un nouvel admin) créaient des journaux, mais les entrées pouvaient apparaître sous le nom d’utilisateur usurpé avec un display name d’un service Microsoft (p. ex. Office 365 Exchange Online), rendant la détection peu intuitive.

  • Conditions et propagation: un attaquant n’avait besoin que de l’ID public du tenant cible et d’un identifiant interne utilisateur (netId). Ces netId pouvaient être découverts par brute-force ou par hopping entre tenants en confiance B2B, favorisant une propagation potentiellement large dans l’écosystème cloud.

  • Chronologie et remédiations 🔒: signalée au MSRC le 14 juillet 2025 et corrigée globalement le 17 juillet 2025, avec des mitigations supplémentaires en août empêchant la demande de ces Actor tokens pour l’API Azure AD Graph. Microsoft n’a trouvé aucune preuve d’exploitation dans la nature et le chercheur a publié une règle KQL pour la chasse aux signes de compromission.

IOCs: aucun indicateur technique (adresses, domaines, hachages) n’est fourni dans l’article.

TTPs observables: utilisation de jetons internes Actor, défaut de contrôle de portée/tenant dans Azure AD Graph, usurpation d’identité d’admin global, lecture furtive sans logs, modifications générant des logs ambigus, brute-force de netId, hopping via relations B2B.

Type d’article: publication de recherche/alerte sur une vulnérabilité critique corrigée, avec détails techniques et impacts.

🔗 Source originale : https://cybersecuritynews.com/microsofts-entra-id-vulnerability/

🖴 Archive : https://web.archive.org/web/20250922104355/https://cybersecuritynews.com/microsofts-entra-id-vulnerability/