Une vulnérabilité critique d’Entra ID de Microsoft : risques et enseignements

Une vulnérabilité critique d’Entra ID de Microsoft : risques et enseignements

Microsoft a corrigé en juillet 2025 une faille de sécurité majeure dans Entra ID (anciennement Azure AD) — identifiée sous le nom CVE-2025-55241 — qui aurait permis à un attaquant de prendre le contrôle total de n’importe quel tenant (client) dans le cloud Microsoft. Voici ce qu’il faut savoir, et ce qu’on peut tirer comme leçons.

Ce que permettait la faille

  1. Authentification interne détournée
    Un mécanisme interne appelé Actor Token — normalement non documenté et utilisé par les services Microsoft pour des communications entre composants — était exploité. Ces jetons ne subissent pas les contrôles de sécurité habituels (par exemple les règles d’accès conditionnel).

  2. Faille dans l’API Azure AD Graph
    L’autre maillon faible est une erreur de validation dans l’API Azure AD Graph. L’API ne vérifiait pas si le jeton Actor provenait du tenant sur lequel il était censé opérer. En conséquence, un jeton généré dans un tenant de test ou de l’attaquant pouvait être utilisé pour cibler un autre tenant.

  3. Impersonation et droits administratifs
    Grâce à cette combinaison, un attaquant pouvait se faire passer pour un Global Administrator d’un tenant externe. Il aurait pu modifier des réglages, créer ou assumer des identités, changer des permissions, etc. Tous les services liés à Microsoft 365 (Exchange, SharePoint…) ainsi que les ressources hébergées sur Azure étaient concernés.

  4. Absence de trace visible
    L’un des aspects les plus dangereux de cette vulnérabilité était sa discrétion : les accès en lecture — extraction de données sensibles, configurations, clés de récupération BitLocker, etc. — ne laissaient quasiment aucun log ou alerte visible dans le tenant ciblé.
    En revanche, toute modification (par exemple attribuer un nouveau compte administrateur) générait un log, mais sous un nom d’utilisateur impersonné, rendant la détection très compliquée pour quelqu’un qui ne sait pas exactement ce qu’il doit chercher.

️ Réponse de Microsoft

  • Le problème a été signalé par le chercheur Dirk-Jan Mollema début juillet, et Microsoft a reconnu sa gravité.

  • Un correctif a été déployé dans les jours qui ont suivi (mi-juillet 2025), visant à empêcher l’émission ou l’utilisation de ces jetons Actor via l’API vulnérable.

  • Microsoft a aussi fourni des règles de détection (dont une règle KQL) pour que les organisations puissent vérifier si leur environnement a pu être compromis.

⚠️ Implications pour les entreprises

  • Risques très élevés : une attaque réussie permettait un accès très large, potentiellement complet, avec des conséquences graves (perte de données, compromission des identités, modifications illégitimes de configurations, etc.).

  • Détection compliquée : les logs peuvent être trompeurs, les actions masquer l’identité de l’attaquant sous les traits d’un service Microsoft — cela nécessite une connaissance précise du fonctionnement interne pour surveiller efficacement.

  • Importance de la réponse rapide : Microsoft a réagi vite, mais cette vulnérabilité illustre que même les grandes plateformes cloud peuvent comporter des failles critiques dans des composants internes ou anciens.

Leçons à retenir & bonnes pratiques

  1. Auditer régulièrement les API et mécanismes internes, en particulier ceux qui échappent aux politiques de sécurité standards (accès conditionnel, MFA, etc.).

  2. Surveillance renforcée : configurer des alertes basées sur des modèles d’attaque inhabituels (par exemple, des identifiants internes ou impersonations). Utiliser les outils de détection (audit, logs, KQL, etc.).

  3. Minimiser les privilèges : ne pas donner de droits Global Admins ou équivalents, sauf lorsqu’absolument nécessaire, et toujours surveiller l’usage de ces comptes.

  4. Assurer une réponse rapide aux vulnérabilités : mise à jour, patching, communication, vérification de l’impact potentiel dans son propre environnement.

Vous voulez tester la solidité de vos défenses Microsoft 365 ?
Nous organisons des simulations réalistes d’attaque. Mieux vaut que ce soit nous qui entrions par la porte… que les autres.

Contactez-nous avant qu’un attaquant ne devienne “Global Admin” à votre place !

Comments 0