Уязвимость в Microsoft Entra ID позволила захватить тенанты компаний
В середине сентября 2025 года исследователь Дирк‑ян Моллема сообщил о серьёзной уязвимости в Microsoft Entra ID (бывшая Azure AD), которая могла привести к полному захвату корпоративных облачных каталогов. Как пишет издание BleepingComputer, проблема связана с обработкой токенов «actor tokens» и ошибкой в интерфейсе Azure AD Graph API, получившей идентификатор CVE‑2025‑55241. Внутренние токены доступа могли быть подменены, а злоумышленник получал права глобального администратора и возможность выдавать себе любые привилегии.
Фактически, имея такой токен, злоумышленник мог подменять любую учётную запись и контролировать все сервисы, привязанные к Entra ID: почтовые ящики, хранилища, CRM, документы и базы данных. По оценке экспертов, эксплуатировать бреш было относительно просто: нужно было заставить жертву перейти по специально сформированной ссылке, после чего на почтовый сервер отправлялся токен запроса и «actor token» администратора, а затем происходило эскалирование прав. Под угрозой оказались тысячи компаний, использующих Entra ID для единого входа в корпоративные системы.
Microsoft признала уязвимость и выпустила экстренное обновление, рекомендуя администраторам проверить журналы на предмет подозрительных запросов и принудительно отозвать активные сеансы. Специалисты советуют отключить устаревший Graph API и перейти на Microsoft Graph, использовать условный доступ, многофакторную аутентификацию и постоянный мониторинг токенов. Инцидент подчёркивает необходимость строгого управления привилегиями в облачной инфраструктуре: любая брешь в цепочке доверия может привести к катастрофическим последствиям.
Источник: BleepingComputer
