Microsoft Entra ID - Die gefährlichste Sicherheitslücke

Ein kritischer Blick auf CVE-2025-55241

Am 18. September berichtete golem.de über eine Sicherheitslücke in Microsoft Entra ID, die von dem Sicherheitsforscher Dirk-Jan Mollema entdeckt und als „wohl bedeutendste Entra-ID-Sicherheitslücke" seiner Laufbahn bezeichnet wurde. Registriert als CVE-2025-55241 und mit einem CVSS-Score von 9,0 als kritisch eingestuft, zeigt der Fall exemplarisch, wie verwundbar zentrale Identitäts- und Zugriffsplattformen sein können.

Was war das Problem?

Im Kern basiert die Lücke auf dem Missbrauch sogenannter Actor-Tokens – interne Tokens, die Microsoft für die Service-to-Service-Kommunikation einsetzt. In Verbindung mit einem Bug in der Graph-API für Azure Active Directory konnte Mollema zeigen, dass sich diese Tokens zweckentfremden lassen, um Zugriff auf fremde Tenants zu erlangen.

Besonders kritisch:

• Mit einem Actor-Token war es möglich, sich als beliebiger Benutzer, einschließlich Administratoren, zu authentifizieren.
• Die Aktivitäten blieben vollständig unsichtbar – keine Logs im kompromittierten Tenant, keine Spuren in Audit-Protokollen, außer bei direkten manipulativen Eingriffen. Selbst dann waren die Einträge kaum von legitimen Admin-Aktivitäten zu unterscheiden.

Damit hätte ein Angreifer nicht nur Benutzerkonten übernehmen, sondern auch Identitäten erstellen, Berechtigungen ändern und Konfigurationen manipulieren können – ohne dass die betroffene Organisation überhaupt etwas bemerkt.

Warum ist das so gefährlich?

Entra ID (ehemals Azure Active Directory) ist für viele Unternehmen die zentrale Instanz für Identitäts- und Zugriffsmanagement. Es verwaltet Single Sign-On, Multi-Faktor-Authentifizierung und ist integraler Bestandteil unzähliger Cloud-Workloads. Eine Schwachstelle auf dieser Ebene bedeutet, dass die gesamte Sicherheitsarchitektur eines Unternehmens kompromittiert werden kann – vom E-Mail-Zugang über interne Systeme bis hin zu Cloud-Anwendungen.

Gerade in Kubernetes-Umgebungen, wo Entra ID oft für die Authentifizierung von Entwicklern und Service-Accounts genutzt wird, hätte eine solche Schwachstelle verheerende Auswirkungen auf die gesamte Container-Infrastruktur haben können.

Hinzu kommt: Laut Mollema hätte sich die erforderliche Tenant-ID und NetID eines Nutzers vergleichsweise einfach beschaffen lassen – per API-Zugriff oder Brute-Force. Das macht die theoretische Ausnutzung der Lücke nicht nur hochgefährlich, sondern auch praktikabel.

Microsofts Reaktion

Mollema meldete die Lücke am 14. Juli 2025. Innerhalb von drei Tagen veröffentlichte Microsoft einen ersten Fix, am 6. August folgten weitere Patches. Öffentlich kommuniziert wurde die Schwachstelle jedoch erst rund einen Monat später.

Das schnelle Handeln bei der Behebung ist positiv zu bewerten. Dennoch zeigt der Vorfall, dass es nicht nur um das Patchen einzelner Schwachstellen geht, sondern um die grundsätzliche Frage, ob eine derart zentrale Abhängigkeit von einer einzelnen Plattform tragfähig ist.

Lehren für Unternehmen

Der Fall verdeutlicht zwei Kernpunkte:

1. Zentrale Identitätssysteme sind ein Single Point of Failure. Wenn Entra ID ausfällt oder kompromittiert wird, steht die gesamte Organisation still.
2. Transparenz und Nachvollziehbarkeit sind entscheidend. Unsichtbare Angriffe, die keine Spuren in Logs hinterlassen, sind eine besondere Gefahr, da klassische Detection-Mechanismen versagen.

Für Unternehmen heißt das: Auch wenn Anbieter wie Microsoft schnell reagieren, muss die eigene Sicherheitsstrategie auf Defense-in-Depth, unabhängige Kontrollmechanismen und gegebenenfalls hybride oder souveräne Alternativen setzen.

Lösungen wie Authentik oder Keycloak bieten hier Alternativen für selbstverwaltetes Identity Management, während Zitadel moderne Zero-Trust-Architekturen ermöglicht. Diese können in Kubernetes-Clustern betrieben werden und bieten volle Kontrolle über Identitätsdaten und Authentifizierungsprozesse.