Kritische Schwachstelle: Entra ID-Sicherheitslücke ermöglicht Kompromittierung globaler Mandanten
2025-09-18
Eine kritische Sicherheitslücke in Microsoft Entra ID ermöglicht es Angreifern, praktisch jeden Mandanten weltweit zu kompromittieren (mit Ausnahme von nationalen Cloud-Bereitstellungen). Nicht dokumentierte „Actor-Token“ und eine Schwachstelle in der Azure AD Graph API ermöglichen vollständigen Zugriff. Angreifer können Brute-Force-Methoden oder B2B-Trust-Beziehungen nutzen, um die netId eines Benutzers zu erhalten, sich als Administratoren auszugeben und die vollständige Kontrolle zu erlangen, auf vertrauliche Daten zuzugreifen und Einstellungen zu ändern. Es sind keine Voraussetzungen erforderlich. Microsoft hat die Sicherheitslücke (CVE-2025-55241) behoben, was die inhärenten Risiken im Design der Actor-Token aufzeigt.
Mehr lesen
Technologie