{"id":315911,"date":"2025-09-19T18:06:28","date_gmt":"2025-09-19T16:06:28","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=315911"},"modified":"2025-09-20T01:56:34","modified_gmt":"2025-09-19T23:56:34","slug":"schwachstelle-cve-2025-55241-in-entra-id-ermoeglichte-global-admin-uebernahme-in-tenants","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/09\/19\/schwachstelle-cve-2025-55241-in-entra-id-ermoeglichte-global-admin-uebernahme-in-tenants\/","title":{"rendered":"Schwachstelle CVE-2025-55241 in Entra ID erm\u00f6glichte Global Admin-\u00dcbernahme in Tenants"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Cloud (Quelle: Pexels, free Verwendung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/05\/Cloud-Symbol.jpg\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2025\/09\/19\/vulnerability-cve-2025-55241-in-entra-id-enabled-global-admin-takeover-in-tenants\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Noch ein kleiner Nachtrag von dieser Woche. Zum 17. September 2025 wurden die Details der Schwachstelle <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-55241\" target=\"_blank\" rel=\"noopener\">CVE-2025-55241<\/a> in Microsoft Entra ID \u00f6ffentlich. \u00dcber die Schwachstelle h\u00e4tte jeder Angreifer sich Tokens holen k\u00f6nnen, um f\u00fcr jeden Tenant die Global Administrator-Rolle \u00fcbernehmen zu k\u00f6nnen.<\/p>\n<p><!--more--><\/p>\n<h2>Entra ID Schwachstelle CVE-2025-55241<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/0d8a4c9097474081bfc8be7104f1d83e\" alt=\"\" width=\"1\" height=\"1\" \/>Das Ganze ist etwas an mir vorbei gegangen. Entra ID ist der Identit\u00e4ts- und Zugriffsverwaltungsdienst, den Microsoft f\u00fcr Azure oder Microsoft 365 verwendet.\u00a0Zum 4. September 2025 hatte Microsoft einen Beitrag zur Schwachstelle <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/CVE-2025-55241\" target=\"_blank\" rel=\"noopener\">CVE-2025-55241<\/a> in Microsoft Entra ID ver\u00f6ffentlicht. Es handelt sich um einen Privilege Escalation Schwachstelle in Azure Entra. So richtig viele Details gab es nicht, nur dass die Nutzer keine Aktionen ausf\u00fchren m\u00fcssen und es keine Ausnutzung g\u00e4be. Die Schwachstelle wurde bereits im Juli 2025 geschlossen. Etwas mulmig werden sollte Azure Entra-Nutzern der CVSS 3.1 Score von 10.0.<\/p>\n<h2>Entra ID erm\u00f6glicht Tenant-\u00dcbernahme<\/h2>\n<p>Die Brisanz des Ganzen wurde erst zum 17. September 2025 \u00f6ffentlich &#8211; der Entdecker der Schwachstelle,\u00a0Dirk-jan Mollema, das Ganze im Blog-Beitrag\u00a0<a href=\"https:\/\/dirkjanm.io\/obtaining-global-admin-in-every-entra-id-tenant-with-actor-tokens\/\" target=\"_blank\" rel=\"noopener\">One Token to rule them all &#8211; obtaining Global Admin in every Entra ID tenant via Actor tokens<\/a> \u00f6ffentlich machte.<\/p>\n<p><a href=\"https:\/\/dirkjanm.io\/obtaining-global-admin-in-every-entra-id-tenant-with-actor-tokens\/\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/JnSY0j1t\/image.png\" alt=\"Entra ID Vulnerability\" width=\"599\" height=\"375\" \/><\/a><\/p>\n<p>Tomas Jakobs und weitere Blog-Leser hatten im Diskussionsbereich des Blogs auf den Sachverhalt und auch auf <a href=\"https:\/\/www.heise.de\/news\/Entra-ID-Luecke-Angreifer-haetten-global-alle-Tenants-uebernehmen-koennen-10662375.html\" target=\"_blank\" rel=\"noopener\">diesen heise-Beitrag<\/a> hingewiesen (danke daf\u00fcr). Die kompakte Fassung dessen, was entdeckt wurde: Bei der Vorbereitung f\u00fcr Vortr\u00e4ge auf der Black Hat und der DEF CON im Juli 2025 stie\u00df Dirk-jan Mollema auf die bedeutendste Entra-ID-Sicherheitsl\u00fccke, die vorstellbar ist.<\/p>\n<p>Er war in der Lage, \u00fcber eine Sicherheitsl\u00fccke weltweit jeden \u00f6ffentlich erreichbaren Entra-ID-Tenant zu kompromittieren und diesen als Global Administrator vollst\u00e4ndig zu \u00fcbernehmen. Die Sicherheitsl\u00fccke\u00a0bestand aus zwei Komponenten:<\/p>\n<ul>\n<li>Undokumentierten Identit\u00e4ts-Tokens, sogenannten \"Actor-Tokens\", die Microsoft in seinem Backend f\u00fcr die Service-to-Service-Kommunikation (S2S) verwendet.<\/li>\n<li>Dar\u00fcber hinaus gab es einen kritischen Fehler in der (alten) Azure AD Graph API, die den urspr\u00fcnglichen Tenants nicht ordnungsgem\u00e4\u00df validierte, sodass diese Tokens f\u00fcr den mandanten\u00fcbergreifenden Zugriff verwendet werden konnten.<\/li>\n<\/ul>\n<p>So konnte Dirk-jan Mollema in seinem Lab-Tenant ein Access-Token anfordern, mit dem er sich als beliebiger Benutzer an jedem anderen Tenant (selbst als Globale Admin) authentifizieren konnte. Aufgrund der Beschaffenheit dieser Actor-Token unterliegen diese keinen Sicherheitsrichtlinien wie Conditional Access. Das bedeutet, dass es keine Einstellung gab, die dies f\u00fcr bestimmte geh\u00e4rtete Mandanten h\u00e4tte abmildern k\u00f6nnen.<\/p>\n<p>Und noch brisanter: Die Anforderung von Actor-Tokens erzeugt keine Spuren in Protokollen. Aber selbst wenn ein Eintrag im log erzeugt w\u00fcrde, w\u00e4re die Anforderung des Access-Token im Tenant des Angreifers und nicht im Tenant des \u00fcbernommenen Opfers protokolliert worden. Das bedeutet, dass es keine Aufzeichnungen \u00fcber die Existenz dieser Tokens gab.<\/p>\n<p>Mit diesen kompromittierten Identit\u00e4ten h\u00e4tte der Zugriff auch auf Microsoft 365 und Azure ausgeweitet werden k\u00f6nnen. Details lassen sich dem Beitrag des Entdeckers (englisch) oder dem heise-Beitrag (deutsch) entnehmen. Der Entdecker hat diese Sicherheitsl\u00fccke CVE-2025-55241 noch am selben Tag dem Microsoft Security Response Center (MSRC) gemeldet. Und diese Sicherheitsl\u00fccke wurde durch Microsoft innerhalb weniger Tage nach Meldung geschlossen. Zudem wurden weitere Abhilfema\u00dfnahmen eingef\u00fchrt, die Anwendungen daran hindern, diese Actor-Token f\u00fcr die Azure AD Graph API anzufordern.<\/p>\n<p><a href=\"https:\/\/x.com\/Cyb3rMonk\/status\/1969020334943744191\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/pr04FqKY\/image.png\" alt=\"Entra ID Scanner\" width=\"600\" height=\"559\" \/><\/a><\/p>\n<p><strong>Erg\u00e4nzung:<\/strong> Im Nachgang bin ich auf <a href=\"https:\/\/x.com\/Cyb3rMonk\/status\/1969020334943744191\" target=\"_blank\" rel=\"noopener\">obigen<\/a> Tweet gesto\u00dfen. Mehmet Ergene hat auf GitHub den Beitrag\u00a0<a href=\"https:\/\/github.com\/Cyb3r-Monk\/Threat-Hunting-and-Detection\/blob\/main\/Privilege%20Escalation\/Potential%20Actor%20Token%20Abuse%20in%20Entra%20ID.md\" target=\"_blank\" rel=\"noopener\">Potential Actor Token Abuse In Entra ID<\/a> ver\u00f6ffentlicht. Der Beitrag enth\u00e4lt Abfragen in Kusto Query Language (KQL) f\u00fcr Microsoft Sentinel \/ Defender XDR, um Audit-Logs auf Aktivit\u00e4ten zu pr\u00fcfen, bei denen ein Actoken Token verwendet wird, die Aktivit\u00e4t jedoch nicht von Microsoft 365-IP-Adressen stammt. Service-to-Service-Vorg\u00e4nge (S2S) sollten von Microsoft-IP-Adressen stammen.<\/p>\n<h2>Security by Redmond &#8211; l\u00f6chrig wie K\u00e4se?<\/h2>\n<p>Ja, die Schwachstelle wurde binnen Tagen gefixt und ist jetzt nicht mehr vorhanden. Aber man muss sich die Vorstellung auf der Zunge zergehen lassen: Da kann jemand ein Access Token anfordern und damit weltweit \u00fcber alle Tenants fuhrwerken und dann diese als Global Administrator \u00fcbernehmen. Platt ausgedr\u00fcckt: Microsoft Entra ID ist schlicht kaputt.<\/p>\n<p>Mir fallen da die Episoden <a href=\"https:\/\/borncity.com\/blog\/2023\/07\/13\/china-hacker-storm-0558-in-microsofts-cloud-outlook-online-konten-gehackt\/\">China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a> und <a href=\"https:\/\/borncity.com\/blog\/2024\/01\/20\/microsoft-durch-russische-midnight-blizzard-gehackt-e-mails-seit-nov-2023-ausspioniert\/\">Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert<\/a> ein. Die F\u00e4lle waren zwar anders gelagert, aber da spazierten Angreifer auch \u00fcber die interessierenden Tenants.<\/p>\n<p>Weiterhin hatte ein Blog-Leser hatte in den Kommentaren auf meinen Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2025\/03\/15\/exchange-online-und-ms365-probleme-durch-schwachstelle-maerz-2025\/\">Exchange Online- und MS365-Probleme durch Schwachstelle? (M\u00e4rz 2025)<\/a> verwiesen, wo ich einen kruden Sachverhalt schilderte, der einem armen Tenant-Administrator passierte. Der lie\u00df sich von ChatGPT ein Script erstellen, was dann bei der Ausf\u00fchrung &#8211; so stellt es sich dar &#8211; andere Tenants \"in den digitalen Orkus\" schickte und von Microsoft gestoppt werden konnte. Der Bericht wurde zwar \"ins Reich der Phantasie\" verortet &#8211; aber mit obigen Erkenntnissen bleibt die Frage \"was kommt den noch, und was lauert noch unentdeckt in Entra ID?\".<\/p>\n<p>Bei den Vorkommnissen, die ich in der Linkliste am Artikelende erw\u00e4hnte, schlugen zwar einige Politiker Alarm und Microsoft gelobte Besserung &#8211; u.a. mit der Secure Future Initiative. Aber man muss schon zittern, wann der n\u00e4chste Klops ans Tageslicht kommt.\u00a0Da passt das Thema, was die Kollegen von Bleeping Computer die Tage im Beitrag\u00a0<a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/us-senator-accuses-microsoft-of-gross-cybersecurity-negligence\/\" target=\"_blank\" rel=\"noopener\">U.S. Senator accuses Microsoft of \"gross cybersecurity negligence\"<\/a> angesprochen haben. Der Vorwurf: \"grobe Fahrl\u00e4ssigkeit im Bereich Cybersicherheit\" bei Microsoft. Wobei wir jetzt das Pech haben, dass Microsoft auch in Europa eingesetzt wird.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2025\/03\/01\/microsoft-365-stoerung-1-maerz-2025\/\">Microsoft 365 St\u00f6rung (1. M\u00e4rz 2025)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2025\/03\/03\/haelt-die-microsoft-365-exchange-online-stoerung-vom-1-maerz-2025-auch-am-3-maerz-2025-an\/\">H\u00e4lt die Microsoft 365\/Exchange Online-St\u00f6rung vom 1. M\u00e4rz 2025 auch am 3. M\u00e4rz 2025 an?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2025\/03\/06\/outlook-auch-am-6-maerz-2025-gestoert\/\" rel=\"bookmark\">Outlook auch am 6. M\u00e4rz 2025 gest\u00f6rt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2025\/03\/09\/schwachstelle-cve-2024-49035-ursache-fuer-exchange-online-und-ms-365-probleme-seit-1-maerz-2025\/\" rel=\"bookmark\">Schwachstelle Ursache f\u00fcr Exchange Online- und MS 365-Probleme seit 1. M\u00e4rz 2025?<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2025\/03\/15\/exchange-online-und-ms365-probleme-durch-schwachstelle-maerz-2025\/\">Exchange Online- und MS365-Probleme durch Schwachstelle? (M\u00e4rz 2025)<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2023\/07\/13\/china-hacker-storm-0558-in-microsofts-cloud-outlook-online-konten-gehackt\/\">China-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/07\/17\/nachlese-zum-storm-0558-cloud-hack-microsoft-tappt-noch-im-dunkeln\/\">Nachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/07\/22\/gau-geklauter-aad-schlssel-ermglichte-storm-0558-weitreichenden-zugang-zu-microsoft-cloud-diensten\/\">GAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/08\/12\/microsofts-cloud-hack-berprfung-durch-us-cyber-safety-review-board\/\">Microsofts Cloud-Hack: \u00dcberpr\u00fcfung durch US Cyber Safety Review Board<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/08\/15\/microsoft-cloud-hack-durch-storm-0588-us-senatoren-unter-den-opfern-prfpflicht-fr-europische-verantwortliche\/\">Microsoft Cloud-Hack durch Storm-0548: US-Senatoren unter den Opfern; Pr\u00fcfpflicht f\u00fcr europ\u00e4ische Verantwortliche<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/09\/07\/microsofts-storm-0588-cloud-hack-schlssel-stammt-aus-windows-crash-dump-eines-pcs\/\">Microsofts Storm-0558 Cloud-Hack: Schl\u00fcssel stammt aus Windows Crash Dump eines PCs<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/20\/microsoft-durch-russische-midnight-blizzard-gehackt-e-mails-seit-nov-2023-ausspioniert\/\">Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/01\/25\/firma-hpe-von-midnight-blizzard-seit-mai-2023-gehackt\/\">Hewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/03\/09\/microsoft-besttigt-russische-spione-midnight-blizzard-haben-quellcode-beim-zugriff-auf-systeme-gestohlen\/\">Microsoft best\u00e4tigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/03\/18\/midnight-blizzard-hack-bei-microsoft-us-behrden-und-grokunden-suchen-alternativen\/\">Midnight Blizzard-Hack bei Microsoft: US-Beh\u00f6rden und Gro\u00dfkunden suchen Alternativen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2024\/04\/03\/rffel-fr-microsoft-kaskade-an-fehlern-fr-storm-0558-cloud-hack-verantwortlich\/\" rel=\"bookmark\">R\u00fcffel f\u00fcr Microsoft: Kaskade an Fehlern f\u00fcr Storm-0558 Cloud-Hack verantwortlich<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2025\/07\/26\/microsoft-untersucht-ob-sharepoint-0-day-vorab-an-hacker-geleakt-wurde\/\" rel=\"bookmark\">Microsoft untersucht, ob SharePoint 0-day vorab an Hacker geleakt wurde<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2025\/07\/16\/krass-microsoft-laesst-die-cloud-des-us-verteidigungsministeriums-durch-chinesische-software-ingenieure-warten\/\" rel=\"bookmark\">Krass: Microsoft l\u00e4sst die Cloud des US-Verteidigungsministeriums durch chinesische Software-Ingenieure warten<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2025\/07\/19\/microsoft-beendet-die-cloud-wartung-des-us-verteidigungsministeriums-durch-chinesische-software-ingenieure\/\" rel=\"bookmark\">Microsoft beendet die Cloud-Wartung des US-Verteidigungsministeriums durch chinesische Software-Ingenieure<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2025\/08\/05\/neue-insights-zum-sharepoint-gate-mitarbeiter-aus-china-fuer-die-wartung\/\" rel=\"bookmark\">Neue Insights zum SharePoint-Gate: Mitarbeiter aus China f\u00fcr die Wartung<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2025\/08\/23\/microsoft-schraenkt-chinas-fruehzeitigen-zugriff-auf-schwachstellen-ein\/\" rel=\"bookmark\">Microsoft schr\u00e4nkt Chinas fr\u00fchzeitigen Zugriff auf Schwachstellen ein<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Noch ein kleiner Nachtrag von dieser Woche. Zum 17. September 2025 wurden die Details der Schwachstelle CVE-2025-55241 in Microsoft Entra ID \u00f6ffentlich. \u00dcber die Schwachstelle h\u00e4tte jeder Angreifer sich Tokens holen k\u00f6nnen, um f\u00fcr jeden Tenant die Global Administrator-Rolle \u00fcbernehmen &hellip; <a href=\"https:\/\/borncity.com\/blog\/2025\/09\/19\/schwachstelle-cve-2025-55241-in-entra-id-ermoeglichte-global-admin-uebernahme-in-tenants\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[1171,8656,672,4328],"class_list":["post-315911","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-cloud","tag-entra-id","tag-microsoft","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/315911","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=315911"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/315911\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=315911"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=315911"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=315911"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}