Microsoft, Küresel Yönetici Taklitçiliğine İzin Veren Entra Kimliği Güvenlik Açığını Düzeltti

Microsoft, başlangıçta düşük etkili bir ayrıcalık yükseltme hatası olarak tanımlanan ve CVE-2025-55241 olarak izlenen Azure Entra ID'deki kritik bir güvenlik açığını giderdi. Güvenlik araştırmaları daha sonra, saldırganların Küresel Yöneticiler de dahil olmak üzere herhangi bir kullanıcıyı taklit etmesine olanak tanıyan bu açığın çok daha ciddi olduğunu ortaya koydu.

Güvenlik açığı, siber güvenlik araştırmacısı Dirk-Jan Mollema tarafından bu yılın başlarında Black Hat ve DEF CON sunumlarına hazırlanırken tespit edildi. Bulguları, belgelenmemiş "Aktör belirteçlerinin" eski Azure AD Graph API'sindeki bir doğrulama hatasıyla bir araya geldiğinde, herhangi bir Entra ID kiracısındaki herhangi bir kullanıcıyı, hatta bir Global Yöneticiyi taklit etmek için kötüye kullanılabileceğini gösterdi.

Bu, bir laboratuvar kiracısında üretilen bir belirtecin, yalnızca veri okunuyorsa uyarı veya kayıt olmadan, değişiklik yapılıyorsa sınırlı izlerle diğerleri üzerinde idari kontrol sağlayabileceği anlamına geliyordu.

Mollema'ya göre, Aktör tokenlerinin tasarımı sorunu daha da kötüleştiriyordu. Bu tokenler, arka uç hizmetten hizmete iletişim için veriliyor ve Koşullu Erişim gibi normal güvenlik önlemlerini atlatıyordu. Elde edildikten sonra, 24 saat boyunca başka kimliklerin taklit edilmesine olanak sağlıyordu ve bu süre boyunca hiçbir iptal mümkün olmuyordu.

Microsoft uygulamaları bunları kimliğe bürünme haklarıyla oluşturabilir, ancak Microsoft dışı uygulamalar bu ayrıcalığa sahip olmazdı. Azure AD Graph API'de günlük kaydı bulunmadığından, yöneticiler saldırganların kullanıcı verilerine, gruplara, rollere, kiracı ayarlarına, hizmet sorumlularına, BitLocker anahtarlarına, politikalara vb. ne zaman eriştiğini göremezlerdi.

Mollema, ayrıntılı teknik blog yazısında , Azure AD Graph API'nin belirtecin kaynak kiracısını doğrulayamaması nedeniyle, kimliğe bürünmenin kiracılar arasında çalıştığını gösterdi. Kiracı kimliğini değiştirip bilinen bir kullanıcı tanımlayıcısını (netId) hedefleyerek, kendi kiracısından başka herhangi bir kiracıya geçebildi.

Geçerli bir Genel Yönetici netId'si ile, Microsoft 365, Azure abonelikleri ve bağlı hizmetlerin tamamen ele geçirilmesinin yolu açıldı. Daha da kötüsü, netId'ler hızlı bir şekilde kaba kuvvetle ele geçirilebilir veya bazı durumlarda, kiracılar arası iş birliklerinde konuk hesabı özniteliklerinden alınabilirdi.

Microsoft, ilk rapordan yalnızca üç gün sonra, 17 Temmuz'da genel bir düzeltme yayınladı ve daha sonra uygulamaların Azure AD Graph için Aktör belirteçleri talep etmesini engelleyen ek önlemler ekledi. Şirket, dahili telemetrisinde herhangi bir istismar kanıtı bulunmadığını açıkladı. 4 Eylül'de güvenlik açığı resmi olarak CVE-2025-55241 olarak sınıflandırıldı.

Ancak güvenlik uzmanları, sorunun bulut kimlik sistemlerine duyulan güvenle ilgili daha geniş endişeleri ortaya çıkardığını söylüyor. Radiant Logic Ürün Direktörü Anders Askasan , "Bu olay, belgelenmemiş kimlik özelliklerinin Sıfır Güven'i nasıl sessizce aşabildiğini gösteriyor." dedi.

" Oyuncu tokenleri, hiçbir politika, kayıt veya görünürlük içermeyen bir gölge arka kapı oluşturarak buluta duyulan güvenin temelini sarstı. Çıkarılacak ders açık: Satıcıların sonradan yama yapması yeterli değil," diye ekledi.

" Sistemik riski azaltmak için, kuruluşların kimlik yapılarının tamamında bağımsız bir gözlemlenebilirliğe, hesapları, hakları ve politikaları sürekli olarak ilişkilendirmeye ihtiyaçları var, " diye tavsiyede bulundu. "Kuruluşların, kimlik verileri ve kontrolleri hakkında güvenilir, tedarikçiden bağımsız bir görüşe ihtiyaçları var; böylece gerçek zamanlı doğrulama yapabilir ve saldırgan bir saldırının çözülmesi neredeyse imkansız bir ihlale dönüşmesinden önce harekete geçebilirler."