Microsoft ha solucionado una vulnerabilidad crítica en Entra ID (anteriormente Azure Active Directory) que, de haberse explotado, habría permitido a un atacante suplantar a cualquier usuario —incluido el Administrador global— en cualquier inquilino.

El fallo, identificado como CVE-2025-55241 y con puntuación CVSS 10.0, fue descubierto por el investigador Dirk-jan Mollema el 14 de julio y corregido por Microsoft el 17 de julio de 2025, sin necesidad de acción por parte de los clientes. Según Microsoft, no existen indicios de explotación activa hasta el momento.

Origen del fallo

La vulnerabilidad surge de la combinación de dos componentes:

  1. Tokens de actor servicio a servicio (S2S) emitidos por el legado Access Control Service (ACS).
  2. Una falla en la API heredada Azure AD Graph (graph.windows.net) que no validaba correctamente el inquilino de origen.

Esto permitía que un token generado en un entorno controlado por el atacante fuese aceptado como válido en otro inquilino, posibilitando acceso entre tenants y suplantación de cuentas de alto privilegio.

Riesgos potenciales

  • Creación de nuevas cuentas con privilegios de Administrador global.
  • Escalada de permisos y control sobre suscripciones de Azure.
  • Acceso a servicios críticos como Exchange Online y SharePoint Online.
  • Exfiltración de datos sensibles (usuarios, grupos, configuraciones, claves de BitLocker sincronizadas).
  • Evasión de MFA, políticas de acceso condicional y registros en la API heredada, lo que dificultaría la detección.

La firma de seguridad Mitiga señaló que este vector permitía eludir medidas de seguridad avanzadas y actuar sin dejar rastro en los registros estándar.

Mitigación y próximos pasos

  • Parche aplicado automáticamente: Microsoft corrigió la vulnerabilidad en la infraestructura de Entra ID el 17 de julio de 2025.
  • Fin de vida de Azure AD Graph: la API heredada quedó oficialmente retirada el 31 de agosto de 2025. Se recomienda a todas las organizaciones migrar sus integraciones a Microsoft Graph.
  • Recomendaciones inmediatas:
    • Auditar cuentas con privilegios elevados y revisar cambios recientes en roles administrativos.
    • Revisar aplicaciones y consentimientos delegados que aún dependan de la API heredada.
    • Fortalecer controles con Privileged Identity Management (PIM) y acceso Just-in-Time.
    • Preservar registros de auditoría e iniciar hunts proactivos para detectar anomalías.

Aunque Microsoft actuó con rapidez y no existen pruebas de explotación activa, la criticidad del fallo y el hecho de que podía ser aprovechado sin generar evidencias en registros hacen que las organizaciones deban asumir un riesgo residual significativo.

La vulnerabilidad CVE-2025-55241 subraya la importancia de eliminar dependencias de APIs obsoletas, reforzar el control de identidades privilegiadas y aplicar estrategias de seguridad proactiva en entornos cloud.

https://thehackernews[.]com/

You May Also Like

Implementación de nueva variante de Phobos Ransomware por 8Base Group

HKN FEED

Okta comparte una solución para la interrupción continua de Microsoft 365 SSO

wpadmin001

La vulnerabilidad del complemento LiteSpeed Cache supone un riesgo importante para los sitios web de WordPress

HKN FEED