Bien que corrigé, la faille souligne les risques systémiques dans les systèmes d’identité cloud où les API héritées et les mécanismes de délégation invisible peuvent être exploités sans détection, ce qui a suscité des appels à une gouvernance et une télémétrie plus fortes.
Les chercheurs en sécurité mettent en garde contre une vulnérabilité max-sévérité dans Microsoft Entra ID (anciennement Azure Active Directory) qui pourrait potentiellement permettre aux attaquants d’identifier tout utilisateur dans tout locataire, y compris les administrateurs mondiaux, sans déclencher du MFA, un accès conditionnel ou de laisser une connexion ou une piste d’audit normale.
La faille, rapportée pour la première fois par Red-Teamer Dirk-Jan Mollema, a exploité des «jetons d’acteurs», un mécanisme Microsoft caché normalement utilisé pour la délégation interne, en manipulant une API héritée qui n’a pas validé le locataire d’origine.
Selon la nouvelle ventilation de l’exploit par Mitiga, un attaquant dans un environnement bénin pourrait demander un jeton d’acteur, puis l’utiliser pour se faire passer pour un utilisateur privilégié dans une organisation complètement distincte.
« La vulnérabilité est née parce que l’API héritée n’a pas validé la source du locataire du jeton d’acteur », ont déclaré des chercheurs de Mitiga dans un article de blog. «Une fois l’identité d’identification d’un administrateur mondial, ils pourraient créer de nouveaux comptes, s’accorder des autorisations ou exfiltrer des données sensibles.»
Le bogue, suivi sous le nom de CVE-2025-55241, a été signalé à Microsoft en juillet, qui a confirmé quelques jours plus tard qu’un correctif avait été développé et poussé vers la production mondiale.
Un jeton pour les gouverner tous
Au cœur du problème se trouve une combinaison du mécanisme de jeton d’acteur et d’une API mal configurée. Les jetons d’acteurs sont des outils internes permettant aux services d’agir au nom des utilisateurs ou d’autres services dans l’infrastructure de Microsoft.
Ce que Mollema a découvert, c’est qu’une API, Azure AD Graph API, n’a pas vérifié le locataire d’un jeton d’acteur, ce qui signifie que l’on pourrait élaborer un jeton dans son propre test ou un locataire à faible privilé et l’utiliser pour usurrer un utilisateur d’administrateur dans un autre locataire non lié. Azure AD Graph est une API REST héritée que Microsoft a introduite il y a des années pour interagir par programme avec Azure Active Directory (maintenant ENTRA ID).
Selon Mitiga, un jeton d’acteur pourrait être conçu à l’aide de l’identification du locataire et des valeurs NETID des utilisateurs cibles, qui peuvent être accessibles via des comptes invités, des journaux divulgués ou même une force brute. Le jeton d’acteur fabriqué (demandé), que le graphique Azure AD ne examine pas pour la source, pourrait désormais être utilisé pour usurper l’identité d’un administrateur mondial.
« Cela entraînerait un compromis complet sur les locataires avec l’accès à tout service qui utilise l’identification ENTRA pour l’authentification, comme SharePoint Online et Exchange Online », avait révélé Mollema dans un article de blog la semaine dernière. «Il fournirait également un accès complet à toute ressource hébergée dans Azure, car ces ressources sont contrôlées à partir du niveau des locataires et les administrateurs mondiaux peuvent s’accorder des droits sur les abonnements Azure.»
L’ajout à la menace est le fait que demander des jetons à acteurs ne génère pas de journaux, ce qui n’apporte aucune entrée de journal, aucune application d’accès conditionnelle et aucune invite MFA.
Le correctif est terminé, mais le risque persiste
Alors que le CVE-2025-55241 a initialement permis un score de gravité de base maximal de 10,0 sur 10, Microsoft a ensuite révisé son avis le 4 septembre pour évaluer le défaut à 8,7, reflétant sa propre évaluation d’exploitabilité.
Microsoft a déployé un correctif à l’échelle mondiale dans les jours suivant le rapport initial, ajoutant que sa télémétrie interne n’a révélé aucune preuve d’exploitation jusqu’à cette époque. Le patch a empêché les jetons d’acteurs de demander des appels API Azure AD Graph et a introduit d’autres atténuations pour fermer le vecteur d’identification.
De plus, le géant de la technologie a publié un blog sur la suppression des pratiques héritées sans sécurité de leur environnement, bien que Mollema se plaigne qu’il n’y avait aucun détail sur le nombre de services utilisent encore ces jetons. « Cette vulnérabilité a déjà été entièrement atténuée par Microsoft », a déclaré Microsoft dans l’avis. «Il n’y a aucune action pour les utilisateurs de ce service à prendre.»
L’équipe de Mitiga souligne que le problème met en évidence une catégorie plus large de risques – confiance en profondeur dans les systèmes d’identité cloud. « Microsoft l’a corrigé, mais le manque de visibilité historique signifie que les défenseurs ne peuvent toujours pas être sûrs s’il a été utilisé dans le passé », a ajouté l’équipe. «Cette incertitude est le point: les attaquants continuent à chercher des voies invisibles. Les défenseurs ont besoin de visibilité partout – avant, pendant et après l’exploitation.»
