Vulnerabilitat Crítica a Microsoft Entra ID

Crítica alerta 5

Descripció

S'ha descobert una vulnerabilitat de gravetat màxima (CVSS 10.0) a Microsoft Entra ID (abans conegut com a Azure Active Directory).

La decisió permetia la suplantació d'identitat de qualsevol usuari dins de qualsevol tenant, incloent Administradors Globals.

Detalls tècnics

El problema residia en una deficiència a la validació de tokens de servei a servei (S2S) emesos pel Access Control Service (ACS), juntament amb errors a l'API heretada Azure AD Graph (graph.windows.net).

Això permetia que un token generat en un tenant pogués ser usat en un altre, eludint controls dorigen (cross-tenant).

Polítiques de Conditional Access i autenticació multifactor (MFA) podien ser eludides. No es registraven logs a l'API afectada, cosa que dificultava la detecció.

Estat de la mitigació

Microsoft ha corregit la vulnerabilitat de forma automàtica des del 17 de juliol de 2025, sense que els clients hagin de fer cap acció manual.

Fins ara no es coneixen indicis d'explotació activa.

Recomanacions

Per garantir que els seus entorns segueixen segurs, se suggereix el següent:

  1. Eliminar dependències amb l'API heretada Azure AD Graph i migrar totes les aplicacions a Microsoft Graph.
    Una Al Dia
  2. Reviseu tots els permisos delegats i permisos d'aplicacions externes. Verificar quines aplicacions confien tokens de tipus S2S, i com autentiquen.
  3. Auditar i reforçar els controls d'accés privilegiat i assegurar que només els rols necessaris tinguin permisos elevats.
  4. Posar en marxa (o reforçar) la monitorització d'esdeveniments anòmals o sospitosos, especialment en els logs relacionats amb identitats, permisos i accessos entre tenants.
  5. Reviseu les polítiques de Conditional Access existents per assegurar-vos que no hi hagi punts febles que puguin ser aprofitats.

Si la vostra organització utilitza serveis al núvol de Microsoft (Entra ID/Azure AD), aquesta vulnerabilitat podria haver compromès completament la seguretat del tenant, atorgant control total a l'atacant: creació/eliminació d'usuaris, accés a serveis vinculats com Exchange, SharePoint, etc.

Tot i que ja està resolta, és clau revisar i reforçar els controls per evitar riscos similars en el futur, especialment si hi ha aplicacions heretades o APIs antigues encara en ús.

Et pot interessar:

No hi ha publicacions relacionades.

Servei d'avisos

Vols estar al dia de les alertes de ciberseguretat més importants?
Comparteix aquesta alerta de seguretat:

Calendari de la Ciberseguretat /25

Demana'l gratis!
LIVE WEBINAR | 1/2/2024

Com protegir el teu Active Directory d'atacs Ransomware amb Tenable

Accedeix al workshop

Servei d'avisos

Rep les alertes més importants
Infordisa / Security Operations Center
Powered by  Compliment de les cookies GDPR
Resum de privacitat

Aquest lloc web utilitza cookies per tal de proporcionar-vos la millor experiència d’usuari possible. La informació de les cookie s’emmagatzema al navegador i realitza funcions com ara reconèixer-vos quan torneu a la pàgina web i ajuda a l'equip a comprendre quines seccions del lloc web us semblen més interessants i útils.