Kontakt

Microsoft Entra ID: „Security First“ nur ein leeres Versprechen?

Ein langer Korridor, der auf beiden Seiten von Reihen von Serverschränken gesäumt ist, die von blauen LED-Lichtern beleuchtet werden und eine futuristische und hochtechnologische Atmosphäre schaffen.

Microsoft hat es geschafft: Entra ID war offen wie ein Scheunentor. Mit CVE-2025-55241 konnte praktisch jeder beliebige Tenant weltweit übernommen werden. Ein Schaden, der zeigt, wie schwierig es ist, komplexe Systeme effektiv abzusichern.

Der GAU im Detail: Wie man jeden Microsoft-Tenant knackt

Die Sicherheitslücke CVE-2025-55241 erhielt den maximalen CVSS-Score von 9.0 – und das zu Recht. Die Kombination aus zwei fatalen Sicherheitslücken machte es möglich, sich als Global Administrator in jeden Entra ID-Tenant einzuloggen:

Das perfekte Angriffs-Szenario:

  • „Actor Tokens“ – undokumentierte Service-to-Service-Token, die Microsoft intern nutzt
  • Defekte Azure AD Graph API – validierte nicht, aus welchem Tenant ein Token stammt

Ein Angreifer konnte also ein Actor Token aus seinem eigenen, harmlosen Test-Tenant ziehen und damit als Global Admin in jedem beliebigen Unternehmen auftreten.

Warum das besonders perfide war

Keine Spuren, keine Logs, keine Chance zur Erkennung. Die Angriffe konnten Multi-Faktor-Authentifizierung, Conditional Access und Logging umgehen, ohne eine Spur zu hinterlassen. Während das SIEM also brav vor sich hin überwacht, kann jemand anderes die komplette Microsoft-Infrastruktur ausräumen.

Die Actor Tokens waren der Security-Albtraum schlechthin:

  • Können nicht widerrufen werden (24h Laufzeit)
  • Umgehen alle Conditional Access Policies
  • Generieren praktisch keine Logs
  • Haben „fast keine der Sicherheitskontrollen, die man sich wünschen würde“

KI-Code und das Ende der Software-Qualität

Hier wird ein Muster sichtbar, das wir (wahrscheinlich nicht nur) bei Microsoft immer häufiger sehen. Satya Nadella (CEO Microsoft) gab selbst zu, dass „vielleicht 20%, 30% des Codes in unseren Repos heute wahrscheinlich alle von Software geschrieben sind“.

Das Ergebnis sehen wir live: Graph APIs, die keine ordentliche Validierung haben. Identity & Access Management-Systeme mit Lücken, die ein Pentester im Schlaf findet. Das sind grobe Schnitzer bei dem einen System, das man unter allen Umständen verteidigen muss.

Das Microsoft-Sicherheits-Theater geht weiter

„Security First“ trifft auf die Realität

  • Azure Master-Key-Desaster 2023 – bis heute nicht restlos aufgeklärt
  • Copilot-Audit-Logs – monatelang an der Überwachung vorbei
  • Externe Finder – wieder mal war es ein externer Researcher, nicht Microsoft selbst

Der niederländische IT-Sicherheitsforscher und Hacker Dirk-jan Mollema entdeckte die Lücke im Juli bei der Vorbereitung seiner Black Hat-Präsentation – nicht etwa Microsofts eigene Pentester.

Was das für Deine IT-Sicherheit bedeutet

SaaS ist nicht automatisch sicherer. Im Gegenteil: Du gibst die Kontrolle ab. Microsoft bestätigte, dass keine Beweise für eine aktive Ausnutzung vor dem Fix gefunden wurden – aber was ist das wert, wenn die Audit-Logs nachweislich unzuverlässig sind?

Die aktuellen Fakten:

  • Entra ID-Logs sind nicht vertrauenswürdig
  • Microsoft-Aussagen über „keine Hinweise für Missbrauch“ sind überdenkenswert
  • Im Eigenbetrieb hätte man mehr Kontrolle über erweiterte Schutzmaßnahmen

Handlungsempfehlungen: Wie Du Dich effektiv schützt

Sofortmaßnahmen:

  1. Legacy-Abhängigkeiten eliminieren – Weg von Azure AD Graph API, hin zu Microsoft Graph
  2. Audit-Log-Überwachung ausweiten – Microsoft-Logs durch eigene Monitoring-Tools ergänzen
  3. Privilegierte Accounts härten – Least-Privilege-Prinzip konsequent durchsetzen

Langfristige Strategie:

  • Hybrid-Ansätze prüfen – Nicht alles muss in die Cloud
  • Zero Trust implementieren – Vertrauen Sie niemandem, auch nicht Microsoft
  • Incident Response vorbereiten – Für den nächsten „unmöglichen“ Microsoft-GAU

Fazit: Vertrauen ist gut, Kontrolle ist besser

Microsoft rollte innerhalb von Tagen nach der Meldung einen Fix aus – das ist löblich. Aber es ändert nichts an der Grundproblematik: Ein einziger Fehler in einem kritischen System kann die gesamte IT-Infrastruktur kompromittieren.

Die nächste Microsoft-Sicherheitslücke kommt bestimmt. Die Frage ist nur: Bist Du dann noch auf Microsofts Versprechen angewiesen, oder hast Du Deine Sicherheitsstrategie selbst in der Hand?

Deine Entra ID läuft noch? Dann sollten wir reden. Denn beim nächsten Mal hast Du vielleicht nicht so viel Glück.

Du willst wissen, wie verwundbar Deine Microsoft-Umgebung wirklich ist? Unsere Penetrationstests decken auf, was Microsoft übersehen hat. Sprich uns an – bevor es andere für Dich tun.

Weitere Beiträge

Deine IT steht unter Beschuss – aber reagiert Dein SOC auch?
Während du diesen Artikel liest, scannen Cyberkriminelle bereits dein Netzwerk.
Alphasolid Event am 08.05.2025
M365 Security Workshop am 13.02.2025
Alphasolid Security Event am 29.11.2024
Die Rolle von Ethical Hackern in der modernen Cybersecurity
Best Practices für IT‑Sicherheits­bewusstsein in Ihrem Unternehmen
Die Wichtigkeit von Penetrationstests für Ihre IT-Sicherheit

Noch Fragen?

In unserem IT-Security Unternehmen arbeitet ein engagiertes Team aus erfahrenen IT-Experten. Mit tiefgreifendem Know how und jeder Menge Leidenschaft machen wir uns jeden Tag daran, den bestmöglichen IT-Security Service zu bieten und unsere Kunden beim Betrieb einer sicheren IT-Infrastruktur zur Seite zu stehen. Als IT-Security Dienstleister sind wir stets für Sie da.

Jetzt kontaktieren

Fragen Sie jetzt einen kostenlosen Ersttermin an und identifizieren Sie Sicherheitsschwachstellen in Ihrem Unternehmen.

Diese Website ist durch reCAPTCHA geschützt und es gelten die Datenschutzbestimmungen und Nutzungsbedingungen von Google.

Sie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.

Mehr Informationen
Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren