Vulnerabilidad Crítica en Microsoft Entra ID

Crítica Alerta 5

Descripción

Se ha descubierto una vulnerabilidad de gravedad máxima (CVSS 10.0) en Microsoft Entra ID (antes conocido como Azure Active Directory).

El fallo permitía la suplantación de identidad de cualquier usuario dentro de cualquier tenant, incluyendo Administradores Globales.

Detalles técnicos

El problema residía en una deficiencia en la validación de tokens de servicio a servicio (S2S) emitidos por el Access Control Service (ACS), junto con fallos en la API heredada Azure AD Graph (graph.windows.net).

Esto permitía que un token generado en un tenant pudiera ser usado en otro, eludiendo controles de origen (cross-tenant).

Políticas de Conditional Access y autenticación multifactor (MFA) podían ser eludidas. No se registraban logs en la API afectada, lo que dificultaba la detección.

Estado de la mitigación

Microsoft ha corregido la vulnerabilidad de forma automática desde el 17 de julio de 2025, sin que los clientes tengan que hacer ninguna acción manual.

No se conocen indicios de explotación activa hasta ahora.

Recomendaciones

Para garantizar que sus entornos siguen seguros, se sugiere lo siguiente:

  1. Eliminar dependencias con la API heredada Azure AD Graph y migrar todas las aplicaciones a Microsoft Graph.
    Una Al Día
  2. Revisar todos los permisos delegados y permisos de aplicaciones externas. Verificar qué aplicaciones confían tokens de tipo S2S, y cómo autentican.
  3. Auditar y reforzar los controles de acceso privilegiado, asegurando que solo los roles necesarios tengan permisos elevados.
  4. Poner en marcha (o reforzar) la monitorización de eventos anómalos o sospechosos, especialmente en los logs relacionados con identidades, permisos y accesos entre tenants.
  5. Revisar las políticas de Conditional Access existentes para asegurarse de que no haya puntos débiles que puedan ser aprovechados.

Si vuestra organización utiliza servicios en la nube de Microsoft (Entra ID / Azure AD), esta vulnerabilidad podría haber comprometido completamente la seguridad del tenant, otorgando control total al atacante: creación/eliminación de usuarios, acceso a servicios vinculados como Exchange, SharePoint, etc.

Aunque ya está resuelta, es clave revisar y reforzar los controles para evitar riesgos similares en el futuro, especialmente si hay aplicaciones heredadas o APIs antiguas aún en uso.

Te puede interesar:

No hay publicaciones relacionadas.

Servicio de avisos

¿Quieres estar al día de las alertas de ciberseguridad más importantes?
Comparte esta alerta de seguridad:

Calendario de la Ciberseguridad /25

¡Pídelo gratis!
LIVE WEBINAR | 1/2/2024

Cómo proteger tu Active Directory de ataques Ransomware con Tenable

Accede al workshop

Servicio de avisos

Recibe las alertas más importantes
Infordisa / Security Operations Center
Powered by  Cumplimiento de cookies de GDPR
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.