ISGroup Consultoría de Ciberseguridad

CVE-2025-55241: Elevación de privilegios en Microsoft Entra ID

Descubierta por el investigador de seguridad Dirk-Jan Mollema, esta vulnerabilidad crítica en Microsoft Entra ID (anteriormente Azure Active Directory) permitía a los atacantes suplantar a cualquier usuario, incluidos los administradores globales, entre diferentes inquilinos (tenants). El fallo se derivaba de dos problemas que interactuaban entre sí:

  1. Actor Tokens: Tokens no documentados utilizados por los servicios internos de Microsoft.
  2. Error en la API de Azure AD Graph: La antigua API de Azure AD Graph no validaba el inquilino de origen de las solicitudes, lo que permitía que los Actor Tokens de un inquilino fueran aceptados por otro.

Esta combinación permitía a los atacantes autenticarse como usuarios arbitrarios en los inquilinos de destino.

ProductoMicrosoft Entra ID
Fecha2025-09-22 10:22:30
Información
  • Corrección disponible

Resumen técnico

La vulnerabilidad permitía a los atacantes:

  • Suplantar a cualquier usuario: Incluidos los administradores globales, en cualquier inquilino de Entra ID.
  • Eludir los controles de seguridad: Como las políticas de acceso condicional y la autenticación multifactor (MFA).
  • Acceder a datos confidenciales: Incluidos datos de usuario, detalles sobre grupos y roles, configuraciones del inquilino, permisos de aplicaciones e información sobre dispositivos.
  • Modificar las configuraciones del inquilino: Crear nuevas cuentas, conceder permisos adicionales o exfiltrar datos confidenciales.

Este defecto podría haber llevado al compromiso total del inquilino, con repercusiones en servicios como Microsoft 365 y Azure.

Recomendaciones

  • A largo plazo, el incidente refuerza dos lecciones operativas para la identidad en la nube: reducir la superficie de ataque retirando las API heredadas (legacy) y exigir a los proveedores de identidad una validación robusta de los tokens, consciente del inquilino, acompañada de telemetría.
  • Para los defensores, las acciones inmediatas son sencillas: verificar el estado del parche de Microsoft en su propio inquilino, realizar un inventario y migrar desde la API de Azure AD Graph, y revisar los roles privilegiados y las entidades de servicio (service principals) para detectar cambios inesperados.

[Callforaction-THREAT-Footer]

In