Vulnerabilidad Crítica Corregida de Azure Entra (Azure AD)
La vulnerabilidad, CVE-2025-55241, de Azure Entra ID (antes Azure AD) fue descubierta y reportada durante el verano por el investigador Dirk-Jan Mollema, a la cual llamó “una vulnerabilidad tan catastrófica, que suena como ficción”; una llave que abre todas las puertas.
Esta vulnerabilidad crítica, con calificación CVSS de 10.0 (la más alta), se sospecha que fue causada por funcionalidad heredada de la infraestructura de Azure; programación antigua que no seguía los mismos estándares que tenemos en la actualidad. La vulnerabilidad proviene del elemento, ahora retirado, Azure AD Graph API, y de “Access Control Service”, servicio que daba la opción de crear “Actor Tokens”, los cuales, debido a una arquitectura cuestionable, permitían acceder a cualquier recurso en cualquier instancia de Azure. Estos tokens no eran una parte bien documentada hacia el público por parte de Microsoft debido a que eran para uso interno, por lo que no se les tomaba en cuenta a la hora de implementar medidas de seguridad y monitoreo.
La creación de los Actor Tokens era un proceso no monitoreado, que no requería de firmas y cuyas acciones dejaban registros vagos y que a simple vista parecían legítimos, o no dejaban registros como tal. Estos tokens son utilizados para comunicación entre servicios (S2S o “services-to-service”) y para realizar acciones en nombre de un usuario. El peligro radica en que estos tokens siempre asignaban permisos elevados para poder realizar cualquier acción.
Un atacante que lograra tener acceso a alguno de estos tokens podía leer perfiles de usuario, grupos, permisos de aplicaciones, llaves de recuperación de BitLocker y más información, todo esto sin levantar alertas, además de que les daba la capacidad de crear cuentas globales con privilegios de administrador o secuestrar cuentas existentes, con simples peticiones utilizando el identificado de cualquier usuario miembro de otra instancia.
Todo el proceso para explotar esta vulnerabilidad únicamente requería acceso a una cuenta de pruebas y un Actor Token, no hacía falta ninguna inyección de día cero, ningún phishing o puertas traseras bien planeadas.
Afortunadamente, esta vulnerabilidad ha sido resuelta. La respuesta de Microsoft ante tal hallazgo fue rápida, de inmediato buscaron una solución para bloquear los Actor Tokens de ser utilizados a través de diferentes instancias mediante la API de Azure AD y restringieron la creación de estos tokens utilizando el servicio antes mencionado. También mencionaron que no se detectó que esta vulnerabilidad hubiese sido explotada, pero dada la falta de medidas de detección y la naturaleza sigilosa de esta vulnerabilidad, se recomienda seguir medidas de precaución.
Aunque no es necesario tomar acciones para resolver este problema, se recomienda habilitar reglas de auditoría que adviertan de actividad sospechosa, tanto en caso de prevención como para detectar anomalías pasadas. Un ejemplo de “query” o consulta para detectar actividad relacionada a esta vulnerabilidad:
AuditLogs
| where not(OperationName has "group")
| where not(OperationName == "Set directory feature on tenant")
| where InitiatedBy has "user"
| where InitiatedBy.user.displayName has_any ( "Office 365 Exchange Online", "Skype for Business Online", "Dataverse", "Office 365 SharePoint Online", "Microsoft Dynamics ERP")
Versiones Afectadas
|
Productos |
Versiones corregidas |
|
Azure Entra (Azure AD) |
Microsoft lanzó correcciones en su momento, por lo que no se requieren acciones por parte de los clientes. |
Recomendaciones
-
Se recomienda monitorear activamente la creación e inicios de sesión de cuentas con permisos privilegiados en instancias de Azure.
-
Monitorear operaciones sospechosas iniciadas por servicios como Sharepoint o Exchange cuya actividad puede parecer parte de cuentas de administración globales.
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactorial.
Referencias
- Khaitan, A. (2025, Septiembre 22). Critical CVE-2025-55241 exposes Entra ID admin access. The Cyber Express. Recuperado el 22 de septiembre de 2025, en: https://thecyberexpress.com/cve-2025-55241-exposes-entra-id-admin-access/
- Microsoft Security Response Center. (2025, Septiembre 18). Security Update Guide—Microsoft Security Response Center—Azure Entra Elevation of Privilege Vulnerability . MSRC | Security Updates. Recuperado el 22 de septiembre de 2025, en: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-55241
- Mollema, D. (2025, Septiembre 17). One Token to rule them all—Obtaining Global Admin in every Entra ID tenant via Actor tokens. Dirkjanm.Io. Recuperado el 22 de septiembre de 2025, en: https://dirkjanm.io/obtaining-global-admin-in-every-entra-id-tenant-with-actor-tokens/
- Wright, R. (2025, Septiembre 19). Critical Azure Entra ID Flaw Highlights Microsoft IAM Issues. Dark Reading. Recuperado el 22 de septiembre de 2025, en: https://www.darkreading.com/cloud-security/critical-azure-entra-id-flaw-microsoft-iam-issues
