Een recente ontdekking door Dirk-jan Mollema laat zien hoe een combinatie van legacy technologie en ongedocumenteerde tokenmechanismen kon leiden tot volledig beheer over alle Microsoft Entra ID tenants. In deze blog duiken we in wat de kwetsbaarheid inhoudt, welke impact het had, welke maatregelen Microsoft genomen heeft én wat jouw organisatie nú moet doen om niet blootgesteld te zijn.
Wat is er gebeurd?
- Microsoft gebruikt interne tokens, ”Actor tokens”, voor service-naar-service (S2S) communicatie. Deze zijn niet publiekelijk gedocumenteerd.
- De kwetsbaarheid zat in de verouderde Azure AD Graph API, die niet goed verifieerde van welke tenant een token afkomstig was. Actor tokens uitgegeven in een niet-bevoegde (lab) tenant konden daardoor misbruikt worden om toegang te krijgen tot andere tenants.
- Actor tokens werden niet afgedwongen door security controllers zoals Conditional Access, MFA, of tenant-specifieke beleidsregels.
- De tokens waren én zijn kwetsbaar wat betreft logging: aanvragen en gebruik van Actor tokens genereren geen audit-gegevens in de doeltenant. Gewoonlijk niet meer dan standaard wijzigingen (zoals rolwijzigingen) genereren wél logs, maar de initiële misbruik-handeling zelf blijft stil.
Impact
De gevolgen waren potentieel ernstig:
- Met een Actor token uit een willekeurige tenant had een aanvaller Global Admin-rechten kunnen verkrijgen in elke Entra ID tenant.
- Daarmee komt toegang tot alle identiteiten, groepslidmaatschappen, tenant-instellingen, service principals, applicatiepermissies, zelfs devices en BitLocker keys in zicht.
- Omdat veel tenants gastgebruikers (B2B) hebben, konden de misbruiksroutes zich via vertrouwen tussen tenants exponentieel uitbreiden.
- Het probleem is gemeld aan Microsoft’s Security Response Center (MSRC) op 14 juli 2025.
- Binnen een paar dagen zijn fixes/mitigaties uitgerold die onder meer Actor tokens voor de Azure AD Graph API buiten gebruik stellen voor service principals.
- Microsoft heeft CVE-nummer CVE-2025-55241 toegekend aan deze kwetsbaarheid.
Detectie & tekenen van misbruik
Hoewel het initiële misbruik weinig sporen nalaat, zijn er aanwijzingen waarop gelet kan worden:
- Onverwachte of onbekende Global Admin-roltoewijzingen.
- Wijzigingen in Conditional Access policies of tenant-instellingen zonder duidelijke aanleiding.
- Creatie van service principals of applicaties met hoge machtigingen, vooral als deze nieuwe accounts zijn en er weinig gebruik of toezicht is.
- Acties binnen Microsoft 365, Azure of andere diensten gevoerd door ogenschijnlijk “legitieme” Global Admins, maar met ongebruikelijke attributen: bijvoorbeeld als de roltoewijzing plaatsvindt via een service zoals Exchange of SharePoint, of als logs aangeven dat het verzoek is “geïnitieerd door” een Microsoft-service maar met Admin-rechten.
Aanbevolen actiepunten
- Inventory & eliminatie van legacy Graph afhankelijkheden — identificeer alle apps en scripts die nog Azure AD Graph gebruiken; migreer waar mogelijk naar Microsoft Graph en plan vervanging z.s.m.
- Verifiëer tenant-logs en verbeter detectie — zorg dat je monitoring niet alleen op tenant-niveau kijkt, maar ook op ongewone S2S-verzoeken of ongebruikelijke activiteit vanuit interne service-principals. Voeg extra telemetrie toe waar nodig
- Beperk en isoleer beheer-paden — segmentatie van admin-workflows en het beperken van welke accounts nieuwe tenants kunnen creëren of welke services rechten krijgen, beperkt blast radius. Volg Microsoft’s guidance rond tenant isolation.
- Zero Trust voor services — behandel interne service-to-service tokens kritisch: vereist least privilege, korte token-levensduur, en waar mogelijk cryptografische ondertekening en verificatie.
- Incident readiness — test playbooks voor cross-tenant compromise (hoe detecteer je, hoe isoleer je en hoe rolt je herstel uit), inclusief communicatie naar cloud-service providers.
Conclusie
De ontdekking van Dirk-jan Mollema versterkt een belangrijke les: identificatie- & authenticatieplatformen (zoals Microsoft Entra) zijn een absolute goudmijn voor aanvallers, zodra ze daar (administratieve) toegang toe hebben kun je alle erop aangesloten systemen als compromised beschouwen. Zelfs “interne” tokens voor service-naar-service verkeer kunnen, mits verkeerd ingericht of onvoldoende gevalideerd, leiden tot volledige tenantcompromis.
Ons advies: controleer zo snel mogelijk of jouw Microsoft-tenant hiervoor kwetsbaar is of was en zo ja, controleer de gehele tenant, de kans is aanwezig dat er ooit toegang toe geweest is zonder dat je dit wist. Zorg dat je in control bent van welke API’s worden gebruikt, welke tokens kunnen worden uitgevraagd, en dat je zicht hebt op wat er afspeelt, zelfs achter de schermen.
Een aantal van deze kwetsbaarheden worden in onze Cloud Security-baseline ook gecontroleerd.