Una vulnerabilidad crítica en la identificación de Entra de Microsoft podría haber permitido que un atacante obtenga un control administrativo completo sobre cualquier inquilino en la infraestructura global de la nube de Microsoft.
El defecto, ahora parcheado, fue descubierto en julio de 2025 y se le asignó CVE-2025-55241.
La vulnerabilidad, descrita por el investigador como el más impactante que probablemente encontrará, residió en una combinación de un mecanismo de autenticación heredado y un error de validación de API.
Según la redacción detallada de Dirk-Jan Mollema, el problema permitió a un atacante usar un tipo especial de token de su propio inquilino para hacerse pasar por cualquier usuario, incluidos los administradores globales, en el inquilino de cualquier otro cliente.
La vulnerabilidad de ID de Microsoft
El ataque aprovechó dos componentes clave:
Tokens de actores: tokens indocumentados de uso interno que Microsoft Services usa para comunicarse entre sí en nombre de un usuario. Estos poderosos tokens no están sujetos a políticas de seguridad estándar como el acceso condicional. Azure AD Graph API Flaw: una supervisión crítica en la API Azure AD Graph Azure no pudo validar correctamente que un token de actor entrante se originó del mismo inquilino al que estaba tratando de acceder.
Esta falla de validación significó que un token solicitado en el entorno de laboratorio de un atacante podría usarse para apuntar y acceder al inquilino de una organización diferente.
Un atacante podría hacerse pasar por un administrador global y obtener acceso sin restricciones para modificar la configuración de los inquilinos, crear o hacerse cargo de identidades y otorgar cualquier permiso.
Este control se extendería a todos los servicios conectados de Microsoft 365, como Exchange Online y SharePoint Online, así como cualquier recurso alojado en Azure.
La naturaleza de la vulnerabilidad la hizo excepcionalmente peligrosa debido a su sigilo. Solicitar y usar los tokens maliciosos no generó registros en el inquilino de la víctima, lo que significa que un atacante podría haber exfiltrado información confidencial sin dejar rastro. Esto incluye:
Información del usuario y detalles personales Membresías del grupo y roles administrativos Configuración de los inquilinos y políticas de seguridad Aplicación y servicio Información principal del dispositivo de datos y recuperación de bitlocker
Si bien la lectura de los datos no tenía trazado, modificar objetos (como agregar un nuevo administrador) generaría registros de auditoría. Sin embargo, estos registros mostrarían confusamente el nombre de usuario del administrador personificados, pero con el nombre de visualización de un servicio de Microsoft como “Office 365 Exchange Online”, que podría pasarse por alto fácilmente sin un conocimiento específico del ataque, Dirk-Jan Mollema dicho.
Para ejecutar el ataque, un adversario solo necesitaría la identificación pública del inquilino de un objetivo y un identificador de usuario interno válido (NETID). El investigador señaló que estos NETID podrían ser descubiertos por la fuerza bruta o, más alarmantemente, “saltando” entre los inquilinos que tienen fideicomisos de usuarios invitados (B2B), lo que potencialmente permite una propagación exponencial de compromiso en todo el ecosistema de la nube.
El investigador informó la vulnerabilidad al Centro de Respuesta a la Seguridad de Microsoft (MSRC) el 14 de julio de 2025, el mismo día que se descubrió. Microsoft reconoció la gravedad y desplegó una solución global antes del 17 de julio de 2025.
Se implementaron más mitigaciones en agosto para evitar que las solicitudes soliciten este tipo de tokens de actores para la API Azure AD Graph.
Según la investigación de Microsoft de su telemetría interna, no se encontró evidencia de que esta vulnerabilidad fuera abusada en la naturaleza. El investigador ha proporcionado una regla de detección de Lenguaje de Consulta Kusto (KQL) para que las organizaciones busquen cualquier posible signo de compromiso en sus propios entornos.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
