Underc0de - La Casa de los Informáticos

La comunidad de ciberseguridad se ha visto sacudida por el descubrimiento de una vulnerabilidad crítica en Microsoft Entra ID, el servicio de administración de identidades y acceso en la nube anteriormente conocido como Azure Active Directory (Azure AD).

La falla, catalogada como CVE-2025-55241, combinada con el uso de tokens heredados no documentados, conocidos como tokens de actor, pudo haber permitido a un atacante obtener acceso completo a los inquilinos de Entra ID de cualquier organización del mundo, sin dejar apenas rastro en los registros.

¿Qué es Microsoft Entra ID y por qué esta falla es tan grave?

Microsoft Entra ID es la plataforma de gestión de identidades y accesos que centraliza la autenticación y autorización de usuarios en entornos corporativos. Ofrece inicio de sesión único (SSO), autenticación multifactor y control de acceso para aplicaciones locales y en la nube.

Una sola instancia de Entra ID representa a una organización completa y protege el acceso a:

• Microsoft 365
• Aplicaciones SaaS de terceros (ej. Salesforce, Dropbox, SAP)
• Servicios en la nube de Google, Amazon y más

El control de un inquilino equivale al control total de la organización: credenciales, archivos, correos electrónicos, bases de datos y configuraciones de seguridad.

El hallazgo del investigador Dirk-jan Mollema

El descubrimiento fue realizado por Dirk-jan Mollema, fundador de Outsider Security y experto en seguridad ofensiva. Investigando configuraciones híbridas de Exchange, Mollema encontró evidencia de tokens de actor, un componente heredado emitido por el Servicio de Control de Acceso.

Estos tokens tenían características extremadamente peligrosas:

• No estaban firmados.
• Permitían suplantar a cualquier usuario del inquilino.
• Tenían validez de 24 horas sin posibilidad de revocación.
• Omitían controles de acceso condicional configurados.
• No dejaban registros al emitirse ni al usarse.

CitarEn sus palabras:

"El token de actor le permite 'actuar' como otro usuario en el inquilino al comunicarse con Exchange Online, SharePoint y, en consecuencia, Azure AD Graph".

Explotación de la vulnerabilidad en Azure AD Graph API

El segundo componente crítico fue una vulnerabilidad en la Azure AD Graph API (ya en desuso). Al modificar el identificador de inquilino en el token de actor y enviarlo a la API, Mollema esperaba un rechazo. Sin embargo, la respuesta del sistema confirmó que el token era válido en cualquier inquilino.

Al introducir un identificador de usuario válido (netId) en el inquilino de destino, el investigador pudo:

• Acceder a datos de usuarios.
• Elevar privilegios hasta convertirse en administrador global.
• Administrar cuentas, modificar configuraciones, crear usuarios y restablecer contraseñas.

Todo esto sin generar registros en el inquilino víctima, salvo las acciones finales del atacante.

Cómo un atacante podía comprometer cualquier inquilino

El proceso descrito por Mollema es alarmantemente simple:

• Generar un token de actor en un inquilino bajo control del atacante.
• Identificar el inquilino víctima mediante APIs públicas y su dominio.
• Obtener un netId válido de un usuario común en ese inquilino.
• Crear un token de suplantación para ese usuario.
• Enumerar administradores globales y sus identificadores.
• Forjar un token de administrador global con privilegios totales.
• Ejecutar acciones de lectura y escritura en la Azure AD Graph API.

La explotación solo requería información pública y accesible, lo que amplificaba aún más el riesgo.

Respuesta de Microsoft

Mollema notificó a Microsoft el 14 de julio de 2025. La compañía respondió con rapidez y corrigió el fallo nueve días después.

El 4 de septiembre, Microsoft publicó un parche oficial para CVE-2025-55241, describiéndolo como una vulnerabilidad crítica de escalada de privilegios en Azure Entra.

Además, la empresa recordó que el Azure AD Graph API entrará en desuso definitivo en septiembre de 2025, lo que reducirá la superficie de ataque en el futuro.

Implicaciones de seguridad

• La existencia de los tokens de actor y la falla en la API revelan varios problemas críticos:
• Diseño heredado sin controles modernos: los tokens no firmados representan un modelo obsoleto y altamente inseguro.
• Explotación global: cualquier organización con Entra ID estuvo en riesgo, sin importar sus políticas de seguridad.
• Carencia de visibilidad: la falta de registros impidió que las víctimas detectaran un ataque en curso.
• Confianza excesiva en servicios internos: Microsoft dependía de estos tokens en sus propias comunicaciones de servicio a servicio.

Recomendaciones para empresas y administradores

Aunque Microsoft ya corrigió la vulnerabilidad, los expertos recomiendan a las organizaciones:

• Migrar a Microsoft Graph API lo antes posible, abandonando dependencias heredadas.
• Revisar roles y privilegios en Entra ID para reducir la exposición de cuentas de administrador global.
• Habilitar registros avanzados y auditorías para detectar accesos inusuales.
• Aplicar políticas de seguridad de "mínimo privilegio" en servicios integrados.
• Mantenerse informado sobre boletines de seguridad de Microsoft y aplicar parches de inmediato.

En fin...

El caso de CVE-2025-55241 en Microsoft Entra ID y los peligrosos tokens de actor pone de manifiesto cómo componentes heredados pueden convertirse en puertas traseras críticas para atacantes.

Aunque Microsoft respondió con rapidez, el incidente resalta la necesidad de que las organizaciones adopten un enfoque proactivo y vigilante en la gestión de identidades en la nube. La lección es clara: en seguridad, lo "heredado" nunca debe pasarse por alto.

Fuente: https://www.bleepingcomputer.com/