Eine als kritisch eingestufte Sicherheitslücke in Microsoft Entra ID, ehemals Azure Active Directory, hätte Angreifern weitreichende Kontrollmöglichkeiten über fremde Unternehmensnetzwerke geben können. Die Schwachstelle mit der Kennung CVE-2025-55241 erhielt die höchstmögliche Risikobewertung. Microsoft hat das Problem inzwischen behoben.
Die Sicherheitslücke ermöglichte es potenziellen Angreifern, die Identität jedes beliebigen Nutzers innerhalb eines Mandanten anzunehmen, einschließlich der von globalen Administratoren. Laut Microsoft gibt es keine Hinweise darauf, dass die Schwachstelle vor ihrer Behebung aktiv ausgenutzt wurde.
Wichtige Erkenntnisse
- Eine kritische Schwachstelle (CVE-2025-55241) in Microsoft Entra ID wurde mit dem höchsten CVSS-Score von 10.0 bewertet.
- Angreifer hätten die Identität von Nutzern, einschließlich globaler Administratoren, in jedem Mandanten übernehmen können.
- Die Lücke wurde am 17. Juli 2025 von Microsoft geschlossen, ohne dass Kunden aktiv werden mussten.
- Das Problem lag in einer veralteten API, die die Herkunft von Authentifizierungstoken nicht korrekt überprüfte.
- Angriffe wären spurlos verlaufen, da die betroffene API keine ausreichenden Protokolle erstellte.
Ursache und Auswirkungen der Schwachstelle
Die Sicherheitslücke wurde am 14. Juli 2025 vom Sicherheitsforscher Dirk-jan Mollema entdeckt und an Microsoft gemeldet. Sie betraf eine Kombination aus zwei spezifischen technologischen Komponenten: der Verwendung von sogenannten Service-to-Service (S2S) Actor-Token und einem Fehler in der veralteten Azure AD Graph API.
Diese API versäumte es, den Ursprungsmandanten eines Tokens ausreichend zu validieren. Ein Mandant ist eine dedizierte Instanz von Entra ID, die eine Organisation repräsentiert. Durch diesen Fehler war es möglich, ein in einem eigenen, kontrollierten Mandanten erstelltes Token zu verwenden, um auf einen fremden Mandanten zuzugreifen. Dieser Vorgang wird als mandantenübergreifender Zugriff bezeichnet.
Vollständige Übernahme von Konten möglich
Ein erfolgreicher Angriff hätte weitreichende Folgen gehabt. Ein Angreifer hätte die Identität eines globalen Administrators annehmen können, der über die höchsten Berechtigungen innerhalb eines Netzwerks verfügt. Dies hätte ihm die vollständige Kontrolle über alle Dienste ermöglicht, die Entra ID zur Authentifizierung nutzen, wie zum Beispiel SharePoint Online, Exchange Online und Microsoft Azure.
Was ist ein Globaler Administrator?
Ein Globaler Administrator in Microsoft Entra ID hat uneingeschränkten Zugriff auf alle Verwaltungsfunktionen und die meisten Daten in allen Microsoft-Cloud-Diensten. Die Kompromittierung eines solchen Kontos gilt als Worst-Case-Szenario für die IT-Sicherheit eines Unternehmens.
Mit diesen Rechten hätte ein Angreifer neue Benutzerkonten erstellen, sich selbst weitere Berechtigungen erteilen oder sensible Daten aus dem Unternehmen exfiltrieren können. Laut Mollema hätte dies den Zugriff auf sämtliche in Azure gehosteten Ressourcen ermöglicht, da globale Administratoren sich selbst Zugriffsrechte auf Azure-Abonnements gewähren können.
Angriffe wären unsichtbar geblieben
Ein besonders problematischer Aspekt der Schwachstelle war die fehlende Protokollierung auf API-Ebene für die betroffene Azure AD Graph API. Das bedeutet, dass ein Angriff keine Spuren in den Sicherheitsprotokollen des Zielunternehmens hinterlassen hätte. Dies hätte die Entdeckung und Untersuchung eines Vorfalls erheblich erschwert.
„Angreifer hätten diese [Actor-]Token so gestalten können, dass sie Entra ID dazu brachten zu denken, sie wären irgendjemand, irgendwo“, erklärte Roei Sherman vom Cloud-Sicherheitsunternehmen Mitiga. „Die Schwachstelle entstand, weil die veraltete API die Mandantenquelle des Tokens nicht validierte.“
Dieser Mechanismus hätte es einem Angreifer erlaubt, Mehr-Faktor-Authentifizierung (MFA) und andere Sicherheitsrichtlinien, sogenannte Conditional Access Policies, vollständig zu umgehen. Der Angreifer hätte keinerlei Vorabzugriff auf die Zielorganisation benötigt.
Die veraltete Azure AD Graph API
Microsoft hatte die Azure AD Graph API bereits im Jahr 2019 als veraltet eingestuft und Unternehmen aufgefordert, auf die modernere Microsoft Graph API umzusteigen. Die endgültige Abschaltung der alten API erfolgte am 31. August 2025. Die nun entdeckte Schwachstelle unterstreicht die Risiken, die mit der Weiternutzung veralteter Technologien verbunden sind.
Einordnung in aktuelle Cloud-Sicherheitsrisiken
Die Entdeckung von CVE-2025-55241 reiht sich in eine Serie von jüngsten Berichten über Schwachstellen und Fehlkonfigurationen in Cloud-Umgebungen ein. Diese Vorfälle zeigen, wie komplex die Absicherung moderner IT-Infrastrukturen ist und wie selbst kleine Fehler zu gravierenden Sicherheitsrisiken führen können.
Zu den weiteren kürzlich aufgedeckten Problemen gehören:
- Mandantenübergreifender Zugriff über API Manager: Eine Schwachstelle im gemeinsam genutzten API Manager von Azure ermöglichte es, Verbindungen anderer Mandanten zu kompromittieren.
- OAuth-Fehlkonfiguration: Ein Fehler in der Konfiguration von Entra ID ermöglichte unbefugten Zugriff auf interne Dienste von Microsoft.
- OneDrive-Synchronisierung: Eine Funktion zur Ordnersynchronisierung in OneDrive for Business konnte ausgenutzt werden, um Zugriff auf synchronisierte Dateien und Anwendungen zu erlangen.
- Offengelegte Anmeldeinformationen: In einer öffentlich zugänglichen Konfigurationsdatei wurden Anmeldeinformationen für eine Azure-AD-Anwendung gefunden.
Diese Beispiele verdeutlichen, dass Angreifer zunehmend auf die Ausnutzung von Konfigurationsfehlern und Schwachstellen in der Cloud-Architektur setzen, anstatt traditionelle Malware einzusetzen. Sicherheitsforscher von RiskInsight betonten kürzlich, dass Techniken wie die Manipulation von Vertrauensrichtlinien es Angreifern ermöglichen, sich unbemerkt und langfristig in Cloud-Umgebungen einzunisten.
Maßnahmen und Ausblick
Microsoft hat die Schwachstelle CVE-2025-55241 serverseitig am 17. Juli 2025 behoben. Für Kunden von Microsoft Entra ID war kein eigenes Handeln erforderlich. Der Vorfall dient jedoch als wichtige Mahnung für Unternehmen, die Sicherheit ihrer Cloud-Dienste kontinuierlich zu überprüfen und veraltete Komponenten konsequent abzulösen.
Die wachsende Abhängigkeit von Cloud-Diensten erfordert ein tiefes Verständnis für deren Sicherheitsarchitektur. Fehlkonfigurationen bleiben eine der Hauptursachen für erfolgreiche Angriffe. Experten empfehlen daher regelmäßige Sicherheitsaudits und den Einsatz spezialisierter Werkzeuge zur Überwachung von Cloud-Umgebungen, um Risiken frühzeitig zu erkennen und zu minimieren.
