Kombinasi penting dari komponen warisan dapat memungkinkan akses lengkap ke penyewa Microsoft EntrA ID dari setiap perusahaan di dunia.
Campuran fatal termasuk token tidak berdokumen yang disebut “Token Aktor” dan kerentanan dalam grafik iklan Azure (CVE-2025-55241) yang memungkinkan token untuk bekerja dengan lingkungan Entra ID organisasi mana pun.
Aktor ancaman yang mengeksploitasi masalah ini akan memiliki akses ke banyak data yang sangat sensitif tanpa meninggalkan jejak di log pada lingkungan yang ditargetkan, kecuali untuk tindakan mereka sendiri.
ENRA ID adalah layanan Identity and Access Management (IAM) berbasis cloud Microsoft, yang sebelumnya dikenal sebagai Azure Active Directory (Azure AD), yang memberikan organisasi masuk tunggal, otentikasi multi-faktor, dan kontrol keamanan di seluruh aplikasi dan sumber daya.
Contoh Entra ID khusus mewakili satu organisasi dan mengelola akses aman ke semua aplikasi yang digunakan, baik di tempat maupun berbasis cloud.
Ini dapat mencakup layanan Microsoft 365, produk SaaS kustom dan pihak ketiga seperti Salesforce, Dropbox, atau aplikasi cloud dari Google, Amazon, atau SAP.
Peneliti Keamanan Dirk-Jan Mollema, Pendiri Keamanan Ofensif Keamanan Orang Luarmenemukan cacat validasi token yang memberinya hak admin global di setiap penyewa Entra ID.
Tingkat akses ini memungkinkan kompromi penyewa penuh dan membuka pintu ke layanan apa pun yang diautentikasi melalui Entra ID.
Menyamar sebagai pengguna mana pun di penyewa
Dalam posting blog teknis, Mollema menjelaskan bahwa aktor token dikeluarkan oleh layanan warisan yang disebut layanan kontrol akses, yang “digunakan untuk otentikasi dengan aplikasi SharePoint dan juga tampaknya digunakan oleh Microsoft secara internal.”
Peneliti menemukan mereka saat menyelidiki pengaturan pertukaran hibrida. Dia memperhatikan bahwa Exchange akan meminta mereka ketika berkomunikasi dengan layanan lain atas nama pengguna.
“Token Aktor memungkinkannya untuk ‘bertindak’ sebagai pengguna lain dalam penyewa saat berbicara untuk bertukar online, SharePoint dan ternyata grafik iklan Azure” – – Dirk-Jan Mollema
Token aktor tidak ditandatangani, artinya mereka dapat digunakan untuk menyamar sebagai pengguna di penyewa, dan memiliki validitas 24 jam tanpa kemungkinan dicabut selama periode ini.
Mollema mengatakan bahwa “seluruh desain token aktor ini adalah sesuatu yang seharusnya tidak pernah ada,” karena mereka tidak memiliki kontrol keamanan yang diperlukan yang tepat:
- Tidak ada log saat token aktor dikeluarkan
- Karena layanan ini dapat membuat token peniruan yang tidak ditandatangani tanpa berbicara dengan entra id, juga tidak ada log saat dibuat atau digunakan
- Mereka tidak dapat dicabut dalam validitas 24 jam mereka
- Mereka sepenuhnya melewati batasan yang dikonfigurasi dalam akses bersyarat
- Kami harus mengandalkan logging dari penyedia sumber daya untuk bahkan mengetahui token ini digunakan dalam penyewa
Peneliti mengatakan bahwa Microsoft mengandalkan token aktor secara internal untuk komunikasi layanan-ke-layanan dan bahwa perusahaan berencana untuk menghapusnya.
Microsoft memanggil mereka “Akses Priviled Tinggi (HPA)“Itu memungkinkan aplikasi atau layanan,” untuk menyamar sebagai pengguna lain tanpa memberikan bukti konteks pengguna.
Saat menguji berbagai cara untuk menggunakan token aktor, Mollema mengubah ID penyewa menjadi berbeda dari yang menghasilkan token, dan mengirimkannya ke API grafik iklan Azure yang sudah usang (graph.windows.net), mengharapkan pesan “akses ditolak”.
Sebaliknya, kesalahan yang dilihat peneliti mengindikasikan bahwa token itu valid, tetapi akses tidak sah karena identitas pengguna tidak ditemukan di penyewa.
sumber: Dirk-Jan Mollema
Mollema mencoba lagi, kali ini dengan ID pengguna yang valid dari penyewa yang ditargetkan, dan melihat Azure AD Graph API mengembalikan data yang diminta.
“Saya menguji ini dalam beberapa penyewa tes yang saya akses, untuk memastikan saya tidak gila, tetapi saya memang dapat mengakses data di penyewa lain, selama saya tahu ID penyewa mereka (yang merupakan informasi publik) dan netid pengguna dalam penyewa itu.”
Menggunakan token aktor yang sama, peneliti dapat menyamar Administrator Global Dalam penyewa target dan melakukan semua tindakan yang terkait dengan peran (misalnya mengelola dan membuat pengguna dari peran yang berbeda, memodifikasi konfigurasi, mengatur ulang kata sandi, menambahkan admin).
Mollema menyoroti bahwa tidak ada tindakan yang diperlukan untuk mendapatkan hak istimewa Admin Global yang menghasilkan log dalam penyewa korban.
Dari perspektif penyerang, mengeksploitasi masalah akan dimungkinkan dalam beberapa langkah, dimulai dengan menghasilkan token aktor dari penyewa di bawah kendali mereka:
- Menemukan ID Penyewa untuk lingkungan yang ditargetkan dapat dilakukan dengan API publik berdasarkan nama domain
- Menemukan netid yang valid dari pengguna reguler di penyewa target
- Membuat token peniruan dengan token aktor dari penyewa penyerang menggunakan ID penyewa dan bersih dari pengguna dalam penyewa korban
- Mendaftarkan semua admin global di penyewa dan mereka bersih
- Membuat token peniruan untuk admin global
- Melakukan tindakan baca/tulis apa pun melalui AZure Ad Graph API
Mollema mencatat bahwa hanya aktivitas pada langkah terakhir yang akan dicatat dalam penyewa korban.
Penting untuk dicatat bahwa Microsoft memulai proses penyusutan untuk layanan API grafik Azure AD pada bulan September tahun lalu.
Pada akhir Juni, perusahaan memperingatkan bahwa aplikasi yang dikonfigurasi akses diperpanjang Namun masih menggunakan grafik iklan Azure tidak lagi dapat menggunakan API mulai awal September 2025.
Mollema melaporkan masalah tersebut ke Microsoft pada 14 Juli dan perusahaan mengkonfirmasi bahwa masalah tersebut diselesaikan sembilan hari kemudian.
Pada tanggal 4 September, Microsoft juga CVE-2025-55241 yang ditambalmenggambarkannya sebagai kerentanan eskalasi hak istimewa yang kritis di Azure Entra.
