Microsoft ha solucionado una vulnerabilidad crítica en Entra ID (antes Azure Active Directory), identificada como CVE-2025-55241, que permitiría a un atacante hacerse pasar por un administrador global de cualquier cliente. El fallo, con una puntuación CVSS de 10.0, fue descubierto el 14 de julio de 2025 y seco tres días después, sin indicios de haber sido explotado en el mundo real.
¿Cómo funcionaba la vulnerabilidad?
El problema reside en los “actor tokens” de servicio a servicio (S2S) emitidos por el Access Control Service (ACS) de Microsoft. La vulnerabilidad permitía que un token malicioso, generado en un cliente, pudiera usarse para acceder a otro cliente con permisos de administrador. Esto era posible debido a que una API antigua, la Legacy Graph API, no validaba correctamente el cliente de origen del token.
La vulnerabilidad era especialmente grave porque podía eludir la autenticación multifactor (MFA), las políticas de acceso condicional y, además, las acciones maliciosas no quedaban registradas adecuadamente en los logs de eventos.
Puntos clave y riesgos
- Exposición a la API antigua: El fallo solo era explotable a través de la Legacy Graph API, que Microsoft ya estaba en proceso de retirar desde el 31 de agosto de 2025. Esto subraya la importancia de migrar a Microsoft Graph como se ha recomendado.
- Impacto severo: Si un atacante lograba explotar la falla, podía obtener acceso a datos sensibles, configuraciones críticas y comprometer servicios como SharePoint Online y Exchange Online. La capacidad de evadir MFA y las políticas de acceso condicional la hacían indetectables y difíciles de mitigar.
- Sin explotación activa conocida: Aunque es un fallo extremadamente grave, el hecho de que Microsoft no haya encontrado indicios de explotación en ambientes reales ofrece un margen de tiempo crucial para que las organizaciones tomen medidas.
Recomendaciones
A pesar de que Microsoft ha implementado el parche, se recomienda tomar las siguientes medidas de precaución:
- Migrar a Microsoft Graph: Asegúrate de que todos tus servicios y aplicaciones hayan dejado de usar la API Graph heredada.
- Revisar políticas de seguridad: Verifica que tus configuraciones de acceso condicional no tengan huecos.
- Auditar los registros: Comprueba que tus registros de auditoría estén habilitados, sean lo suficientemente detallados y se revisen con regularidad.
- Reforzar las cuentas de administrador: Implemente una protección reforzada para las cuentas de administrador global, como el acceso restringido y alertas de actividad sospechosa.
- Educar al personal: Capacita al personal técnico para que entienda los riesgos de las vulnerabilidades entre clientes.
