Microsoft’un kimlik ve erişim yönetim hizmeti Entra ID’de keşfedilen kritik bir güvenlik açığı, dünya genelindeki kiracı hesaplarının tam kontrolünün ele geçirilmesine yol açabilecek düzeyde tehlike barındırdı. Dirk-jan Mollema tarafından CVE-2025-55241 koduyla kaydedilen açık Microsoft tarafından temmuz ayında kapatıldı.
Açık Global Yönetici Yetkilerini Ele Geçirmeye İzin Verdi
Entra ID, Azure ve Microsoft 365 hizmetlerinde kullanılan kimlik doğrulama altyapısını yönetiyor. Keşfedilen güvenlik açığı, saldırganların sahte erişim tokenleri elde ederek herhangi bir kiracının global yönetici yetkilerini üstlenmesine yol açtı. Bu tokenler, Microsoft’un sistemler arası iletişim için kullandığı ve kamuya açık olmayan “aktör tokenleri” üzerinden üretildi.
Araştırmacının aktardığına göre, eski Azure AD Graph API’sinde bulunan doğrulama hatası, bu tokenlerin farklı kiracılarda da geçerli olmasına neden oldu. Böylece saldırganlar yalnızca kendi deneme ortamında ürettikleri belirteçleri kullanarak başka bir organizasyonun hesabına yönetici olarak giriş yapabildi. En tehlikeli nokta ise bu erişim isteklerinin günlük kayıtlarında iz bırakmaması oldu.
Microsoft, güvenlik raporu ulaştığında açığı kısa sürede kapattı. Şirket ayrıca ek önlemler alarak eski API üzerinden bu tür tokenlerin talep edilmesini engelledi. Ancak olay, Entra ID altyapısının güvenilirliği konusunda ciddi soru işaretleri doğurdu.
Uzmanlara göre böyle bir açık, saldırganlara yalnızca kimlik yönetim sistemlerinde değil Microsoft 365 ve Azure hizmetlerinde de yetkisiz erişim imkânı sağlamış olabilirdi. Üstelik güvenlik politikalarının hiçbirinin bu saldırı yöntemine karşı koruma sağlayamaması, riski daha da büyüttü.
Almanya’da ve diğer ülkelerdeki güvenlik topluluklarında, açığın teknik bir hata mı yoksa bilinçli bırakılmış bir arka kapı mı olduğu tartışılıyor. Daha önce Çin ve Rusya bağlantılı siber saldırılarla hedef alınan Microsoft, bu olayla birlikte tekrar eleştirilerin merkezine yerleşti.
Siyasetçiler de şirketin güvenlik ihlallerine karşı yetersiz kaldığını belirterek uyarılarda bulundu. Microsoft ise “Güvenli Gelecek İnisiyatifi” adı altında yeni adımlar atacağını duyurdu. Buna rağmen kullanıcıların zihninde, Entra ID altyapısında hâlâ keşfedilmemiş zafiyetler olabileceğine dair kuşku yerini koruyor.
