CVE-2025-55241 olarak izlenen yakın zamanda açıklanan bir kusur, bir test veya laboratuvar kiracısından tek bir “aktör jetonu” na sahip olan herhangi bir saldırganın küresel olarak her Microsoft Entra Kimliği (Azure AD) müşterisi üzerinde tam idari kontrol üstlenmesine izin verdi.
Güvenlik araştırmacısı Dirk-Jan Molema, Microsoft’un jeton tabanlı hizmet iletişimindeki kritik bir doğrulama hatasının düşük ayrıcalıklı bir hizmet jetonunu evrensel bir ana anahtara dönüştürebileceğini ortaya koydu. Çok uluslu şirketlerden küçük girişimlere kadar hiçbir kiracı güvende olmazdı.
Güvenlik açığına genel bakış
Microsoft’un arka uç hizmetleri, kendi hizmetleri arasındaki iletişimi doğrulamak ve yetkilendirmek için aktör jetonlarını kullanır.
| CVE tanımlayıcısı | Etkilenen bileşen | Darbe | Önkoşuldan istismar | CVSS 3.1 puanı |
| CVE-2025-55241 | Microsoft Entra Kimlik Aktör Jetonları | Tüm kiracılarda küresel yönetici kontrolünü tamamlayın | Herhangi bir kiracıdan geçerli bir aktör jetonu bulundurmak | 10.0 Kritik |
Sınır kontrollerindeki başarısızlık nedeniyle, bu jetonlar kiracı sınırları arasında kabul edilebilir.
Böyle bir jeton elde eden bir saldırgan, herhangi bir alarm veya uyarıyı tetiklemeden kullanıcı profillerini, grup üyeliklerini, uygulama izinlerini, Bitlocker kurtarma anahtarlarını ve daha fazlasını okuyabilir.
Aynı jetonla, daha sonra yeni Global Yönetici hesaplarını döndürebilir veya mevcut olanları kaçırabilirler ve herhangi bir hedef kiracının tam ayrıcalıklarını etkili bir şekilde devralabilirler.
Tüm istismar zinciri sadece bir test laboratuvarı hesabına erişim, sıfır günlük enjeksiyon, sofistike kimlik avı, çok aşamalı arka kapıya gerek yoktu.
Bu kusur, merkezi otorite modellerinin temel zayıflığını ortaya koymaktadır. Yıllar geçtikçe, kuruluşlar satıcı tarafından sağlanan kimlik sağlayıcılarının doğal olarak güvenilir olduğu fikrine güveniyorlardı.
Yine de CVE-2025-55241, Okta’nın geniş destek sistemi sızıntısından Cisco’nun gizli arka kapı maruziyetine kadar “güvenilir” platformlarda bir dizi felaket ihlaline katılıyor.
Kök problem sadece buggy kodu değil, mutlak otorite kavramıdır. Bir sistem bileşeni veya tek bir satıcı küresel olarak erişim sağlama veya iptal etme yetkisine sahip olduğu sürece, felaket arızaları kaçınılmazdır.
Ortaya çıkan şifreleme tasarımları bir çıkış yolu sunar: otorite dışı güvenlik. Bu tür sistemlerde, hiçbir varlık tam güce sahip değildir.
Bunun yerine, kimlik doğrulaması ve yetkilendirme, birden fazla bağımsız düğüm arasında dağıtılmış fikir birliği gerektirir.
Kriptografik anahtar parçaları asla tek bir yerde monte edilmez; Tek tek düğümler tehlikeye girse bile matematiksel olarak korunurlar.
Otorite olmayan mimariler, CVE-2025-55241 gibi güvenlik açıklarının Tanrı modu erişimi elde etmek için silahlandırılamayacağı bir gelecek vaat ediyor.
Sistemin bir bölümünde bir kusur bulunsa bile, saldırganlar onu tek taraflı olarak kullanamadı.
Kuruluşlar ve satıcılar, tek güven noktalarını ortadan kaldıran dağıtılmış kimlik çerçevelerini pilotluk yapmaya başlamalıdır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.