CVE-2025-55241 olarak izlenen yeni açıklanan bir güvenlik açığı bildirilmiştir. Bağımsız bir araştırmacı tarafından keşfedilen ve Eylül 2025’te açıklanan kusur, eskiden Azure Active Directory (Azure AD) olan Microsoft Entra ID’nin, saldırganların neredeyse her ENTRA kimlik kiracısında küresel yöneticileri taklit etmesine izin veren kritik bir belirteç doğrulama sorununa karşı savunmasız olduğunu ortaya koydu. Bu istismarın kapsamı, hepsi tespitsiz Microsoft 365, Azure Resources ve Bağlı Uygulamaları kapsadı.
Uzmanlar tarafından entra kimliğinde bugüne kadarki en şiddetli olanlardan biri olarak tanımlanan bu güvenlik açığı, belgesiz aktör jetonlarının kötüye kullanılması ve Azure AD grafik API’sinde temel bir tasarım kusuru etrafında döndü, birçok Microsoft dahili hizmeti tarafından hala güvenen bir miras arayüzü.
Aktör jetonları nedir?
Aktör jetonları, Microsoft’un Access Control Hizmeti tarafından verilen bir tür JSON Web Token (JWT). Bu jetonlar, öncelikle Microsoft’un Exchange Online veya SharePoint gibi kendi uygulamaları için hizmetler arası iletişimi kolaylaştırır.
Aktör jetonlarını özellikle tehlikeli kılan şey, görünmezlikleridir: koşullu erişim politikalarına tabi değildir, gerçek zamanlı telemetriden yoksundurlar ve asla hedef kiracıya giriş yapmazlar. 24 saat boyunca geçerli olan bu jetonlar, taşıyıcının kiracının bilgisi olmadan bir kiracı, hatta küresel bir yöneticide herhangi bir kullanıcıyı taklit etmesini sağlayan bir “Trustedfordelegation” iddiası taşır.
Daha da önemlisi, aktör jetonları, müşteri tarafı inşa edilmiş taklit jetonlarına gömülebilir, bu daDoğrulama kontrollerini tamamen geçin. Bu kimliğe bürünme jetonları imzasızdır, yani şifreleme koruması yoktur ve Azure AD Graph API gibi hizmetlere meydan okumadan sunulabilir.
Azure Reklam Grafiği API kusuru
İkinci ve tartışmasız daha felaket başarısızlığı Azure AD grafiği API’sindeydi. DEF Con ve Black Hat’taki görüşmelere hazırlık sırasında güvenlik testi sırasında araştırmacı, API’nın gelen kimliğe bürünme kiracı kimliğini doğrulamadığını keşfetti.Ken.
Sonuç olarak, bir saldırgan şunları yapabilir:
- Kontrollü (laboratuvar) kiracıdan bir aktör jetonu kullanın.
- Başka bir kiracıdaki kullanıcıyı taklit eden bir jeton oluşturun.
- Azure reklam grafiğine o kullanıcı olarak istekleri gönderin.
- Global Yönetici ayrıcalıklarına sahip olanlar da dahil olmak üzere verileri o kullanıcı gibi erişim veya değiştirin.
Bu, çok kiracılı bulut platformlarında temel bir güvenlik varsayımı olan kiracı izolasyonunu etkili bir şekilde parçaladı.
İzlenemez erişim ve veri hırsızlığı
CVE-2025-55241’in en ilginç yönlerinden biri telemetrinin tam eksikliğidir:
- Aktör jetonları ihraç üzerine kaydedilmez.
- Taklit etme jetonları çalışma zamanında imzasız ve doğrulanmamıştır.
- Azure AD Graph API, okuma işlemleri için hiçbir günlük oluşturmaz.
Yalnızca kullanıcı oluşturma veya yapılandırma değişiklikleri gibi bazı yazılı eylemler denetim günlükleri üretebilir ve o zaman bile meşru küresel yöneticiler tarafından yürütülmüş gibi görünürler. Bu görünürlük eksikliği, istismarın neredeyse imkansız olmasını sağladı tespit etmek için.
Bu kusur aracılığıyla erişilebilir veriler şunları içerir:
- Kullanıcı profilleri ve kişisel veriler.
- Grup üyelikleri ve rolleri.
- Kiracı yapılandırmaları ve koşullu erişim politikaları.
- Uygulama ayarları ve Bitlocker kurtarma anahtarları.
Kavram ve saldırı akışının kanıtı
TAraştırmacının kavram kanıtı, uzlaşma için minimal bir önkoşul kümesini özetledi:
- Bir kiracı kimliği (kamuya açık olarak elde edilebilir).
- Bir NetID (Erişim belirteçlerinde bulunan bir eski tanımlayıcı).
Bunlarla, bir saldırgan herhangi bir kullanıcıyı taklit edebilir, küresel yöneticiye yükselebilir ve keşif yapabilir veya savunucuları uyarmadan kalıcı erişim sağlayabilir.
Özellikle etkili bir yöntem B2B güven ilişkilerini içeriyordu. B Kiracı B’den bir kullanıcı kiracı A’ya davet edildiğinde, NetID’leri kiracı A’da saklanır. Kiracı A’ya erişimi olan bir saldırgan NetID’yi çıkarabilir ve kullanıcıyı kendi kiracılarında (Kiracı B) taklit etmek için kullanabilir.
Varsayılan Entra ID ayarları ile, konuk hesapları ve kiracılar arası ilişkiler nedeniyle Microsoft’un kendisi de dahil olmak üzere birden fazla kiracıya katlanarak tekrarlanabilir.
Zaman Çizelgesi ve Microsoft’un yanıtı
Sorun sorumlu bir şekilde mikrosoya açıklandıFT 14 Temmuz 2025’te. Microsoft derhal bir soruşturma açtı ve 17 Temmuz’a kadar küresel bir düzeltme yaptı, ardından 6 Ağustos’ta daha da azaltma adımları izledi. Güvenlik açığı, 17 Eylül’de yayınlanan tam teknik ayrıntılarla resmi olarak CVE-2025-55241 atandı.
Microsoft’un yanıtı şunları içerir:
- Aktör jetonlarının Azure AD grafiği aracılığıyla arası kiracıları kullanmasını engellemek.
- Aktör jetonlarının hizmet ana kimlik bilgileriyle verilmesini kısıtlamak.
- Sömürünün gizli doğası nedeniyle uyarılarla birlikte gelse de, herhangi bir sömürü tespit edilmediğini beyan ederek.
Tespit ve savunma
Azure AD grafiği aracılığıyla okuma işlemleri açılmamış olsa da, araştırmacılar yazma eylemleri için denetim günlüklerindeki anomalilere dayanan bir algılama yöntemi geliştirdiler. Örneğin, bir kullanıcının UPN’sini gösteren ancak bir uygulamanın ekran adını (“Exchange Online” gibi) gösteren günlükler, aktör jeton kötüye kullanımını gösterebilir.
Bir örnek kusto sorgu dili (KQL) algılama kuralı filtreleri, SharePoint, Dynamics veya Exchange gibi hizmetler tarafından başlatılan ve küresel yönetici hesapları altında görünen, belirteç tabanlı taklit edilen bir işaret işareti.