Microsoft verhoogt impact van kritieke Entra ID-kwetsbaarheid naar 10.0

In dit artikel:

Microsoft heeft de ernst van een kritieke kwetsbaarheid in Entra ID (voorheen Azure Active Directory) opgetrokken naar de maximale CVSS-score 10.0. De fout (CVE-2025-55241), ontdekt door de Nederlandse onderzoeker Dirk‑jan Mollema, combineert twee problemen: ongedocumenteerde interne impersonation-tokens ("Actor Tokens") en een tekortkoming in de legacy Azure AD Graph API die de herkomst van tokens niet goed controleert. Daardoor kon een token dat in een lab-omgeving was verkregen, worden gebruikt om zich als vrijwel elke gebruiker aan te melden — ook als Global Admin — in andere Entra ID-omgevingen.

Mollema meldde het lek op 14 juli; Microsoft bracht op 17 juli een patch uit en voerde op 6 augustus aanvullende mitigaties door. Het bedrijf maakte de kwetsbaarheid publiek op 4 september. Nadat Mollema op 17 september technische details publiceerde, herzag Microsoft de aanvalsscenario’s en corrigeerde de impactscore (oorspronkelijk 9.0) naar 10.0. Diensten die Entra ID gebruiken (zoals SharePoint Online, Exchange Online en Azure-hosted resources) konden daardoor volledig gecompromitteerd raken. Microsoft stelt dat klanten geen aanvullende actie hoeven te ondernemen.