Microsoft ha corregido una vulnerabilidad crítica en Entra ID—antes Azure Active Directory—que pudo haber permitido la suplantación de cualquier usuario, incluidos Global Administrators, en cualquier tenant. Con CVSS de 10.0, el fallo se considera de máximo impacto y ya ha sido solucionado sin requerir acción por los usuarios.
El pasado julio, Microsoft resolvió una de las vulnerabilidades más severas registradas en Entra ID (antes Azure Active Directory), detectada por el investigador Dirk-jan Mollema y clasificada como CVE-2025-55241. Este fallo permitía a atacantes suplantar cualquier identidad, incluso administradores globales, a través de cualquier tenant. La compañía asegura que no hay indicios de explotación activa y que la remediación es completamente automática.
CVE-2025-55241 surgía de una deficiencia en la validación de tokens de servicio a servicio (S2S) emitidos por el Access Control Service (ACS) y un fallo en la API heredada Azure AD Graph (graph.windows.net). Esta combinación permitía que un token generado en un tenant propio se utilizara en cualquier otro, eludiendo controles de origen y permitiendo acceso transversal entre tenants (cross-tenant). Lo crítico del asunto es que los tokens eran válidos incluso bajo políticas de Conditional Access y la falta de logs en la API dificultaba la detección de abuso.
El riesgo máximo radicaba en que cualquier atacante podía hacerse pasar por un Global Administrator, permitiendo compromiso total del tenant, creación de cuentas, exfiltración de datos o cambios en permisos, e incluso acceso total a recursos en Azure y servicios vinculados (SharePoint, Exchange, etc.). Además, el ataque podía eludir MFA, registros y políticas de acceso, complicando tanto la detección como la respuesta ante incidentes.
Microsoft ha implementado el parche de forma automática desde el 17 de julio de 2025, no requiriendo acción manual por parte de los clientes. Se recomienda eliminar cualquier dependencia de la API Azure AD Graph, migrar aplicaciones a Microsoft Graph y revisar la configuración de permisos delegados. Además, es vital monitorizar aplicaciones externas y fortalecer la revisiones periódicas de roles y accesos privilegiados.
Este incidente subraya los riesgos latentes en APIs heredadas y la importancia de la visibilidad sobre los mecanismos de autenticación y delegación en la nube. Aunque la vulnerabilidad ha sido cerrada sin consecuencias conocidas, es fundamental actualizar desarrollos y controles, migrar a APIs soportadas y monitorizar eventos anómalos para fortalecer la defensa de los entornos cloud.
Más información
- CVE-2025-55241 (NVD):https://nvd.nist.gov/vuln/detail/CVE-2025-55241
- Microsoft Patches Critical Entra ID Flaw Enabling Global Admin Impersonation Across Tenants (The Hacker News): https://thehackernews.com/2025/09/microsoft-patches-critical-entra-id.html
La entrada Microsoft soluciona grave vulnerabilidad en Entra ID que permitía suplantar cualquier identidad se publicó primero en Una Al Día.
☞ El artículo completo original de Hispasec lo puedes ver aquí
No hay comentarios.:
Publicar un comentario