Microsoft Entra Kimliğinde (daha önce Azure Active Directory) kritik bir jeton doğrulama hatası, saldırganların herhangi bir kiracı boyunca küresel yöneticiler de dahil olmak üzere herhangi bir kullanıcıyı taklit etmesine izin verebilir.
Güvenlik açığı, CVE-2025-5524110.0 maksimum CVSS skoru atanmıştır. Microsoft tarafından Azure Entra’da bir ayrıcalık artış kusuru olarak tanımlandı. Sorunun vahşi doğada kullanıldığına dair bir gösterge yoktur. 17 Temmuz 2025 itibariyle Windows Maker tarafından herhangi bir müşteri işlemi gerektirmeyen ele alınmıştır.
14 Temmuz’daki eksikliği keşfeden ve bildiren güvenlik araştırmacısı Dirk-Jan Molema, eksikliğin, ulusal bulut dağıtımları hariç, dünyadaki her Entra kimlik kiracısından ödün vermeyi mümkün kıldığını söyledi.
Sorun, iki bileşenin bir kombinasyonundan kaynaklanmaktadır: Erişim Kontrol Hizmeti (ACS) tarafından verilen Hizmet-Servis (S2S) aktör jetonlarının kullanımı ve eski Azure Reklam Grafiği API’sinde (Graph.windows.net) ölümcül bir kusur, kaynaklı kiracıları etkili bir şekilde doğrulamayan, tenler arası erişim için kullanılmasına izin vermedi.
Bunu dikkate değer kılan şey, jetonların Microsoft’un koşullu erişim politikalarına tabi olması ve Grafik API’sına erişimi olan kötü bir aktörün yetkisiz değişiklikler yapmasıdır. Daha da kötüsü, Grafik API’sı için API seviyesi günlüğünün eksikliği, Entra Kimliği, Grup ve Rol Ayrıntıları, Kiracı Ayarları, Uygulama İzinleri ve Cihaz Bilgileri ve Bitlocker Keys’de depolanan kullanıcı bilgilerine erişmenin herhangi bir iz bırakmadan entra kimliğine senkronize edilmesinin kullanılabileceği anlamına geliyordu.
Küresel yöneticinin taklit edilmesi, bir saldırganın yeni hesaplar oluşturmasına, kendilerine ek izin vermesine veya hassas verileri dışarı atmasına izin verebilir, bu da SharePoint Online ve Exchange Online gibi entra kimliğini kullanan herhangi bir hizmete erişim ile tam bir kiracı uzlaşmasına neden olabilir.
Mollema, “Azure’da barındırılan herhangi bir kaynağa tam erişim sağlayacaktır, çünkü bu kaynaklar kiracı düzeyinden kontrol edilir ve küresel yöneticiler kendilerine Azure abonelikleri hakkında haklar verebilir.”
Microsoft, bu tür kiracılar arası erişim örneklerini, “bir uygulama veya hizmet müşteri içeriğine geniş erişim elde ettiğinde, kullanıcı bağlamının herhangi bir kanıtını sunmadan taklit etmesine izin veren” bir “yüksek privile erişim” (HPA) vakası olarak nitelendirmiştir.
Azure Reklam Grafiği API’sının 31 Ağustos 2025 itibariyle resmi olarak kullanımdan kaldırıldığını ve emekli olduğunu ve teknoloji devinin uygulamalarını Microsoft Graph’a taşımaya çağırmasıyla birlikte. Amortismanın ilk duyurusu 2019’da yapıldı.
Microsoft, 2025 Haziran ayının sonlarında, “Azure reklam grafiği API’lerine hala bağlı olan genişletilmiş erişim için yapılandırılmış uygulamalar, Eylül 2025’in başından itibaren bu API’leri kullanmaya devam edemeyecek.”
Bulut güvenlik şirketi Mitiga, CVE-2025-55241’in başarılı bir şekilde kullanılmasının çok faktörlü kimlik doğrulama (MFA), koşullu erişim ve günlüğe atlayarak olayın izini bırakmadığını söyledi.
“Saldırganlar bunları yaratabilir [actor] Mitiga’dan Roei Sherman, Entra kimliğini herhangi bir yerde herkes olduklarını düşünmeye kandıracak şekilde belirtilen jetonlar.
Diyerek şöyle devam etti: “Bu, bir saldırganın kendi, ayrı ayrı test ortamlarından bir aktör jetonu alabileceği ve daha sonra başka bir şirketin kiracısında küresel bir yöneticiyi taklit etmek için kullanabileceği anlamına geliyordu. Saldırganın hedef kuruluşa önceden var olan herhangi bir erişime ihtiyaç duymadığı anlamına geliyordu.”
Daha önce, Molema, bir saldırganın belirli koşullar altında yüksek ayrıcalıklar kazanmasına izin verebilecek Exchange Server’ın (CVE-2025-53786, CVSS puanı: 8.0) şirket içi sürümlerini etkileyen yüksek şiddetli bir güvenlik kusurunu detaylandırdı. Başka bir araştırma, Intune sertifikası yanlış yakınlaştırmalarının (sahtekarlık tanımlayıcıları gibi), Active Directory ortamlarını hedefleyen bir ESC1 saldırısı gerçekleştirmek için normal kullanıcılar tarafından istismar edilebileceğini buldu.
Geliştirme, Binary Security’nin Haakon Holm Gulbrandsrud’un Hizmet Olarak Yazılım (SAAS) konektörlerini kolaylaştırmak için kullanılan Paylaşılan API Manager (APIM) örneğinin, kiracılar arası erişim elde etmek için doğrudan Azure Kaynak Yöneticisi’nden çağrılabileceğini açıklamasından haftalar sonra geliyor.
Gulbrandsrud, “API bağlantıları, bağlı arka uçlara tam erişim sağlayarak herkesin dünya çapında diğer bağlantıları tam olarak tehlikeye atmasına izin veriyor.” Dedi. “Bu, anahtar kasaların ve Azure SQL veritabanlarının ve JIRA veya Salesforce gibi harici olarak bağlı diğer tüm hizmetlerin kiracılar arası uzlaşmasını içerir.”
Ayrıca son haftalarda bulutla ilgili birkaç kusur ve saldırı yönteminin keşfini de takip ediyor –
- Microsoft’un Mühendislik Hub Rescue’sına kişisel bir Microsoft hesabı ile bile yetkisiz erişim sağlayan, 22 dahili hizmet ve ilişkili verileri ortaya çıkaran bir Entra Kimliği OAuth yanlış yapılandırma.
- Microsoft OneDrive, Business Bilinen Klasör Hareketi (KFM) özelliğinden yararlanan bir saldırı, online senkronizasyonuna ve dosyalarına erişim elde etmek için OneDrive Sync ile bir Microsoft 365 kullanıcısından ödün veren kötü bir aktöre izin veren bir saldırı.
- Microsoft’un OAuth 2.0 uç noktalarına karşı doğrudan kimlik doğrulaması yapmak ve duyarlı verileri ekspiltrat etmek, kötü niyetli uygulamalar dağıtmak veya artan ayrıcalıkları açıklamak için kullanılabilen bir halka açık uygulama ayarları (AppSettings.json) dosyasında Azure Reklam Uygulama Kimlik Bilgileri sızıntısı.
- Microsoft Azure’da kayıtlı bir kullanıcıya, uzlaşmış posta kutusu içindeki bir kullanıcıya, AWS Web Hizmetleri (AWS) erişim anahtarlarını, bilinmeyen aktörlerin AWS izinleri numaralandırmasına izin veren ve üretim artışları arasında bir güven ilişkisi kazandıran ve bir güven ilişkisini kullanan bir kullanıcıya kandıran bir kullanıcıya kandıran bir Rogue OAuth uygulamasına bir bağlantı içeren bir kimlik avı saldırısı saldırısı, bilinmeyen aktörler, AWS ve üretimler arasında bir güven ilişkisi arasında yer almasına izin veriyor, Hassas verileri dışarı atın.
- Örneğin IAM rolüne atanan geçici güvenlik kimlik bilgilerini alarak bulut kaynaklarını tehlikeye atarak örnek meta veri hizmetine (IMDS) erişmek amacıyla AWS EC2 meta veri hizmetine istek göndermek için Web uygulamalarındaki sunucu tarafı talep (SSRF) güvenlik açıklarını kullanmayı içeren bir saldırı.
- AWS’nin güvenilir danışman aracında, belirli depolama kovası politikalarını değiştirerek S3 güvenlik kontrollerini ortadan kaldırmak için kullanılabilecek, aracın kamuya açık S3 kovalarını yanlış olarak raporlamasına neden olan ve böylece veri açığa çıkmasına ve veri ihlallerine maruz kalan hassas verileri bırakmasına neden olan şimdi paylaşılan bir sorun.
- AWS ortamlarında kalıcılık oluşturmak için AWS rolü ve güven politikaları ile ilgili IAM yapılandırmalarını değiştiren bir teknik kodu AWSDoor.
Bulgular, bulut ortamlarındaki çok yaygın yanlış yapılandırmaların bile, ilgili kuruluşlar için felaket sonuçları olabileceğini ve veri hırsızlığına ve diğer takip saldırılarına yol açabileceğini göstermektedir.
Riskinsight araştırmacıları geçen hafta yayınlanan bir raporda, “AccessKey enjeksiyonu, güven politikası geri kapı kaplaması ve notaklama politikalarının kullanımı gibi teknikler, saldırganların kötü amaçlı yazılımları dağıtmadan veya alarmları tetiklemeden devam etmesini sağlıyor.” Dedi.
“IAM’ın ötesinde, saldırganlar AWS kaynaklarını, lambda işlevleri ve EC2 örnekleri gibi-kendilerinden yararlanabilir. CloudTrail’i devre dışı bırakmak, olay seçicilerini değiştirmek, Sessiz S3 delesyonu için yaşam döngüsü politikalarını dağıtmak veya AWS kuruluşlarından hesaplamak, uzun vadeli sıkıntıyı veya yıkımları azaltan tekniklerdir.”