ISGroup Conseil en Cybersécurité

CVE-2025-55241 : Élévation de privilèges dans Microsoft Entra ID

Découverte par le chercheur en sécurité Dirk-Jan Mollema, cette vulnérabilité critique dans Microsoft Entra ID (anciennement Azure Active Directory) permettait aux attaquants d’usurper l’identité de n’importe quel utilisateur, y compris les administrateurs globaux, entre différents locataires (tenants). La faille découlait de deux problèmes interagissant entre eux :

  1. Actor Tokens : Jetons non documentés utilisés par les services internes de Microsoft.
  2. Erreur dans l’API Azure AD Graph : L’ancienne API Azure AD Graph ne validait pas le locataire d’origine des requêtes, permettant aux Actor Tokens d’un locataire d’être acceptés par un autre.

Cette combinaison permettait aux attaquants de s’authentifier en tant qu’utilisateurs arbitraires dans les locataires cibles.

ProduitMicrosoft Entra ID
Date22/09/2025 10:22:30
Informations
  • Correctif disponible

Résumé technique

La vulnérabilité permettait aux attaquants de :

  • Usurper l’identité de n’importe quel utilisateur : Y compris les administrateurs globaux, dans n’importe quel locataire Entra ID.
  • Contourner les contrôles de sécurité : Tels que les politiques d’accès conditionnel et l’authentification multifacteur (MFA).
  • Accéder à des données sensibles : Y compris les données utilisateur, les détails sur les groupes et les rôles, les paramètres du locataire, les autorisations des applications et les informations sur les appareils.
  • Modifier les configurations du locataire : Créer de nouveaux comptes, accorder des autorisations supplémentaires ou exfiltrer des données sensibles.

Ce défaut aurait pu conduire à la compromission complète du locataire, avec des répercussions sur des services tels que Microsoft 365 et Azure.

Recommandations

  • À long terme, l’incident renforce deux enseignements opérationnels pour l’identité dans le cloud : réduire la surface d’attaque en retirant les API héritées (legacy) et exiger des fournisseurs d’identité une validation robuste des jetons, consciente du locataire, accompagnée d’une télémétrie.
  • Pour les défenseurs, les actions immédiates sont simples : vérifier l’état du correctif de Microsoft dans leur locataire, effectuer l’inventaire et migrer depuis l’API Azure AD Graph, et examiner les rôles privilégiés ainsi que les principaux de service (service principals) pour détecter des modifications inattendues.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *