Ta podatność mogła zniszczyć cały Microsoft Azure. Jeden token wystarczył do przejęcia kontroli nad wszystkimi kontami firm

Usługi chmurowe stanowią dziś podstawę działania tysięcy firm na całym świecie, a zarządzanie tożsamością i dostępem użytkowników jest ich najważniejszym elementem. W Microsofcie odpowiada za to platforma Entra ID, będąca podstawą bezpieczeństwa dla Microsoft 365 i Azure. Stabilność tego systemu jest niezwykle istotna. Odkrycie w nim luki o potencjalnie katastrofalnych skutkach pokazuje, jak cienka jest granica między porządkiem a chaosem w cyfrowym świecie.

Krytyczny błąd w systemie uwierzytelniania Microsoft Entra ID mógł pozwolić hakerom na przejęcie pełnej kontroli nad dowolną firmą na świecie, korzystającą z usług chmurowych Azure.

Budżet na cyberbezpieczeństwo w Polsce wzrasta do 1 mld euro w odpowiedzi na rosyjskie cyberataki na infrastrukturę krytyczną

Holenderski badacz bezpieczeństwa Dirk-jan Mollema z firmy Outsider Security odkrył w lipcu 2025 roku podatność, którą sam określił jako "prawdopodobnie najbardziej wpływową lukę w systemie Entra ID, jaką kiedykolwiek znajdzie". Luka oznaczona jako CVE-2025-55241 składała się z dwóch elementów. Były nimi nieudokumentowane tokeny impersonacji zwane "Actor tokens" oraz krytyczny błąd w starym Azure AD Graph API, który nie weryfikował poprawnie źródłowej dzierżawy. Microsoft naprawił podatność globalnie w ciągu zaledwie trzech dni od zgłoszenia, wydając dodatkowe zabezpieczenia w sierpniu. Podatność mogła pozwolić atakującemu na uwierzytelnienie się jako dowolny użytkownik, włączając w to administratorów globalnych, w każdej dzierżawie Microsoft Entra ID na świecie. Actor tokens to nieudokumentowane tokeny JWT wydawane przez starą usługę Access Control Service, wykorzystywane przez Microsoft do komunikacji pomiędzy usługami. Tokeny te nie podlegają kontrolom bezpieczeństwa jak Conditional Access i nie generują żadnych logów podczas wydawania czy używania. Dodatkowo są niepodpisane, co oznacza, że po uzyskaniu jednego tokena można było przez 24 godziny podszywać się pod dowolnego użytkownika w systemie docelowym.

FBI i CISA ostrzegają. Hakerzy z grupy Static Tundra wykorzystują luki w routerach Cisco do ataków na infrastrukturę krytyczną

Eksperci porównują odkrytą lukę do ataku Storm-0558 z 2023 roku, gdy chińska grupa cyberprzestępców skompromitowała klucz kryptograficzny Microsoft i uzyskała dostęp do systemów poczty elektronicznej rządów różnych krajów. Mollema podkreśla jednak, że jego odkrycie mogło umożliwić atakującym pójście znacznie dalej. Pozwalało na dodanie siebie jako administratora o najwyższych uprawnieniach w dzierżawie dawało pełny dostęp do wszystkich usług Microsoft wykorzystujących Entra ID do uwierzytelniania, włączając Azure, SharePoint i Exchange. Według badacza teoretycznie możliwe było skompromitowanie większości dzierżaw na świecie w ciągu kilku minut poprzez wykorzystanie relacji B2B między organizacjami. Użytkownicy-goście w dzierżawach mają w atrybutach zapisane identyfikatory netID swoich kont domowych, które mogły być wykorzystane do impersonacji w dzierżawach macierzystych. Mollema przedstawił całość w prezentacji. Microsoft nie znalazł dowodów na wykorzystanie tej podatności przez złośliwe podmioty i wydał CVE-2025-55241 z maksymalnym wynikiem CVSS 10.0, podkreślając że problem został naprawiony jako część inicjatywy Secure Future Initiative.