Microsoft, başlangıçta düşük etkili bir ayrıcalık artış hatası olarak tanımlanan CVE-2025-55241 olarak izlenen Azure Entra Kimliğinde kritik bir güvenlik açığı ele aldı. Güvenlik araştırması daha sonra kusurun çok daha şiddetli olduğunu ve saldırganların küresel yöneticiler de dahil olmak üzere herhangi bir kullanıcıyı taklit etmesine izin verdiğini ortaya koydu.
Güvenlik açığı başlangıçta bu yılın başlarında siyah şapka ve def con sunumlarına hazırlanırken siber güvenlik araştırmacısı Dirk-Jan Molema tarafından tanımlandı. Bulguları, belgelenmemiş “aktör jetonlarının”, eski Azure AD grafik API’sındaki bir doğrulama hatasıyla birleştiğinde, herhangi bir kullanıcıyı herhangi bir Entra kimlik kiracısında, hatta küresel bir yöneticide taklit etmek için istismar edilebileceğini gösterdi.
Bu, bir laboratuvar kiracısında üretilen bir jetonun, yalnızca okuma veri veya değişiklik yapılırsa sınırlı izler varsa, uyarı veya günlükler olmadan başkaları üzerinde idari kontrol sağlayabileceği anlamına geliyordu.
Molema’ya göre aktör jetonlarının tasarımı sorunu daha da kötüleştirdi. Bu jetonlar, arka uç hizmet-hizmet iletişimi için verilir ve koşullu erişim gibi normal güvenlik korumalarını atlar. Aldıktan sonra, 24 saat boyunca diğer kimliklerin taklit edilmesine izin verdiler, bu süre zarfında hiçbir iptal mümkün değildi.
Microsoft uygulamaları bunları taklit etme haklarıyla oluşturabilir, ancak Microsoft olmayan uygulamalar bu ayrıcalığın reddedileceği. Azure Reklam Grafiği API’sı günlüğe kaydetmediğinden, yöneticiler saldırganların kullanıcı verilerine, gruplara, rollere, kiracı ayarlarına, hizmet prensiplerine, bitLocker anahtarlarını, politikalarını vb.
Molema, ayrıntılı teknik blog yazısında, Azure Reklam Grafiği API’sının jetonun kaynaklı kiracını doğrulayamadığı için kimliğe bürünmenin kiracılar arasında çalıştığını gösterdi. Kiracı kimliğini değiştirerek ve bilinen bir kullanıcı tanımlayıcısını (NetID) hedefleyerek, kendi kiracından diğerlerine geçebilir.
Global bir yöneticinin geçerli bir netID ile kapı, Microsoft 365, Azure abonelikleri ve bağlı hizmetlerin tam olarak ele geçirilmesine açıldı. Daha da kötüsü, netidler hızlı bir şekilde zorla zorlanabilir veya bazı durumlarda, kiracılar arası işbirliklerinde konuk hesabı özelliklerinden alınabilir.
Microsoft, ilk rapordan sadece üç gün sonra, 17 Temmuz’da küresel bir düzeltme başlattı ve daha sonra uygulamaların Azure reklam grafiği için aktör jetonları talep etmesini engelleyen daha fazla hafifletme ekledi. Şirket, iç telemetrisinde sömürü kanıtı bulunmadığını söyledi. 4 Eylül’de güvenlik açığı resmi olarak CVE-2025-55241 olarak kataloglandı.
Ancak güvenlik uzmanları, sorunun bulut kimlik sistemlerine olan güven konusunda daha geniş endişeler ortaya koyduğunu söylüyor. Radiant Logic ürün müdürü Anders Askasan, “bu olay, belgelenmemiş kimlik özelliklerinin nasıl sessizce sıfır güveni atlayabileceğini gösteriyor.”
“Aktör Tokens, politikaları, kütükleri, görünürlüğü yok, buluttaki güven temelini baltalayan bir gölge arka kapı yarattı. Paket servisi açıktır: satıcı, sadece yeterli değil. ”Diye ekledi.
“Sistemik riski azaltmak için, işletmelerin tüm kimlik kumaşlarında bağımsız gözlemlenebilirliğe ihtiyaçları vardır, hesapları, yetkileri ve politikaları sürekli olarak ilişkilendirir,“ tavsiye etti. “Kuruluşlar, kimlik verileri ve kontrolleri hakkında güvenilir, satıcı-agnostik bir görüşe ihtiyaç duyarlar, böylece gerçek zamanlı olarak doğrulayabilir ve düşmanca bir saldırı gevşemesi neredeyse imkansız bir ihlal haline gelmeden önce hareket edebilirler.”