Nederlandse hacker: alle Microsoft Entra ID-tenants in gevaar

In dit artikel:

De Nederlandse securityonderzoeker Dirk-jan Mollema ontdekte een kritieke kwetsbaarheid in Microsoft Entra ID waardoor een aanvaller theoretisch volledige controle over elke tenant ter wereld kon krijgen. De fout ontstond door een combinatie van twee problemen: ongedocumenteerde “Actor tokens” die Microsoft intern gebruikt en die niet worden onderworpen aan beveiligingsregels zoals Conditional Access, en een validatiefout in de verouderde Azure AD Graph API die cross-tenant gebruik van die tokens mogelijk maakte. Mollema concludeerde: “Effectief betekende dit dat ik met een token uit mijn lab tenant volledig toegang had tot elke andere tenant ter wereld.”

Doordat aanvragen van Actor tokens niet gelogd werden (en Azure AD Graph nauwelijks API-level logging heeft), zou een succesvolle aanval vrijwel onzichtbaar blijven; eventuele auditrecords zouden bovendien de acties laten lijken alsof een legitieme Global Admin ze uitvoerde. Met impersonatie van een Global Admin kunnen aanvallers vrijwel alle objecten en instellingen aanpassen, toegang krijgen tot diensten als SharePoint Online en Exchange Online en zichzelf rechten op Azure-abonnementen toekennen — kortom volledige tenant-compromittering.

Mollema meldde het probleem direct aan het Microsoft Security Response Center; Microsoft patchte de fout binnen enkele dagen en rolde extra mitigaties uit. De kwetsbaarheid kreeg CVE-2025-55241, en Microsoft meldt geen aanwijzingen voor misbruik uit telemetrie. Als mitigatie kunnen applicaties nu geen Actor tokens meer aanvragen voor de Azure AD Graph API. Er is ook een KQL-detectieregel beschikbaar voor organisaties die sporen van misbruik willen opsporen.

Aanbevelingen voor organisaties: controleer of legacy-apps Azure AD Graph gebruiken en migreer naar Microsoft Graph (dat wel betere logging heeft), voer opslag en rotatie van geheimen uit, activeer en onderzoek relevante auditlogs, en implementeer de door Microsoft gepubliceerde detectieregels.