Microsoft Entra ID servisinde ortaya çıkan kritik bir güvenlik açığı, dünya genelindeki şirketlerin kimlik yönetim altyapılarını risk altına soktu. Güvenlik araştırmacısı Dirk-jan Mollema tarafından keşfedilen zafiyet, saldırganlara herhangi bir şirketin Entra ID ortamında Global Yönetici yetkisi kazandırabilecek düzeyde ciddi bir tehlike oluşturdu.
Araştırmacı Açığın Kökenini Ortaya Koydu
Mollema, incelemeleri sırasında “actor token” adı verilen belgelenmemiş kimlik belirteçlerine ulaştı. Bu tokenlerin, Microsoft’un eski Access Control Service üzerinden üretildiği ve özellikle Exchange ile SharePoint gibi servislerin kimlik doğrulama süreçlerinde kullanıldığı anlaşıldı. Actor tokenler imzasız oldukları için her kullanıcı adına sahte işlem yapılmasına olanak tanıyordu. Ayrıca 24 saat boyunca geçerliliklerini koruyan bu tokenlerin iptal edilmesi mümkün değildi.
Azure AD Grafik hatası, tokenlerin geçerli olduğunu ancak kullanıcının mevcut olmadığını gösteriyor
Araştırmacı, söz konusu token çeşitlerinin Azure AD Graph API üzerinde kullanıldığında beklenmedik şekilde başka şirketlerin tenant ortamlarında da geçerli olduğunu fark etti. Basit bir kullanıcı kimliği ve tenant ID bilgisi ile başka organizasyonlara ait verilere erişim sağlanabiliyordu.
Mollema’nın testleri, aktör tokenlerin kötüye kullanılması halinde saldırganların Global Yönetici rolüne kadar yükseltebileceğini gösterdi. Bu seviyedeki yetki, parola sıfırlamadan yeni kullanıcı eklemeye kadar çok geniş bir kontrol imkânı sunuyordu. Üstelik bu işlemlerin çoğu, hedef alınan şirketin günlüklerinde herhangi bir iz bırakmıyordu.
Araştırmacı, açığın istismar edilmesi için izlenebilecek adımları da sıraladı. Saldırgan önce kendi tenant ortamından actor token üretiyor, ardından hedef organizasyonun herkese açık tenant ID bilgisi ve geçerli bir kullanıcı kimliği ile sahte token hazırlayabiliyordu. Son aşamada Global Yönetici kimliğine bürünerek kritik işlemler yapabiliyordu.
Microsoft, 14 Temmuz’da kendisine iletilen açığı dokuz gün içinde kapattığını açıkladı. 4 Eylül’de yayımlanan güvenlik güncellemesi ile CVE-2025-55241 kodlu zafiyet giderildi. Şirket, Azure AD Graph API’nin kullanımını geçen yıl eylül ayında sonlandırma sürecine girdiğini ve 2025 sonbaharından itibaren tamamen devre dışı bırakılacağını hatırlattı.
Güvenlik araştırmacısı Mollema, actor token yapısının baştan itibaren ciddi tasarım hataları barındırdığını belirtti. Microsoft ise bu token türlerinin sistemden tamamen kaldırılması yönünde çalışmalar yürütüyor.
