Un chercheur en sécurité néerlandais a découvert une vulnérabilité qui permettait aux cybercriminels de prendre le contrôle des systèmes.
Microsoft a résolu une faille de sécurité grave dans le service cloud Entra ID. Celle-ci permettait aux cybercriminels d’obtenir le contrôle complet de tous les tenants Entra ID dans le monde.
Jetons non traçables
La vulnérabilité, CVE-2025-55241, a été découverte en juillet et corrigée par Microsoft en quelques jours seulement. Le chercheur en sécurité Dirk-Jan Mollema décrit dans son blog qu’il s’agit « probablement de la vulnérabilité Entra ID la plus critique » jamais trouvée.
L’attaque a été rendue possible par les jetons Actor. Il s’agit de jetons internes que les services Microsoft utilisent pour effectuer des actions au nom d’un utilisateur. Ils ne sont pas destinés à un usage externe et ne sont normalement pas journalisés ou limités par des mesures de sécurité.
En raison d’une erreur dans l’interface de programmation obsolète d’Azure AD Graph, ces jetons n’étaient pas suffisamment contrôlés. Cette interface était encore utilisée pour se connecter via Entra ID. Cela permettait aux cybercriminels d’utiliser leurs propres jetons, leur permettant d’effectuer des actions dans d’autres tenants. Cela facilitait l’intrusion dans ces autres tenants et l’obtention de droits d’administrateur. Cela signifie qu’un attaquant pouvait créer de nouveaux comptes, accorder des droits ou utiliser les services Microsoft 365 utilisés dans ce tenant.
Intervention rapide
La vulnérabilité a été signalée le 14 juillet et trois jours plus tard, Microsoft avait déjà déployé un correctif mondial. Selon Microsoft, il n’y a aucune indication que la vulnérabilité dans Entra ID ait été activement exploitée. Début août, des mesures supplémentaires ont suivi : la demande de jetons Actor pour l’API Azure AD Graph est désormais bloquée, et la validation des ID de tenant est devenue plus approfondie.