Eine schwerwiegende Schwachstelle hätte Angreifern die vollständige Kontrolle über Unternehmens-Cloud-Umgebungen ermöglicht. Microsoft reagierte binnen drei Tagen mit einem globalen Fix.

Der Software-Riese aus Redmond hat eine kritische Sicherheitslücke in seinem Entra ID-Dienst geschlossen, die Cyberkriminellen praktisch unbegrenzten Zugang zu Cloud-Umgebungen von Unternehmen verschafft hätte. Die als CVE-2025-55241 klassifizierte Schwachstelle erhielt die höchstmögliche Bewertung von 10.0 Punkten – ein deutliches Signal für das katastrophale Schadenspotenzial.

Details zu der bereits im Juli 2025 behobenen Sicherheitslücke wurden erst kürzlich öffentlich gemacht und sorgen seither für Aufregung in der Cybersicherheits-Community. Der Fehler lag in einer veralteten Komponente und hätte Angreifern ermöglicht, sämtliche Sicherheitsprotokolle zu umgehen – einschließlich Zwei-Faktor-Authentifizierung und bedingte Zugangsrichtlinien. Das Perfide daran: Die Attacke hätte keine Spuren hinterlassen.

Maximaler Schweregrad: Was CVE-2025-55241 so gefährlich machte

Die Privilege-Escalation-Schwachstelle wurde vom niederländischen Sicherheitsforscher Dirk-jan Mollema entdeckt. Seine Einschätzung war alarmierend: Theoretisch hätte jeder Entra ID-Tenant weltweit kompromittiert werden können. Entra ID, früher bekannt als Azure Active Directory, bildet das Herzstück von Microsofts gesamtem Cloud-Ökosystem und verwaltet den Zugang zu Microsoft 365 und Azure.

Eine vollständige Übernahme eines Entra ID-Tenants hätte Angreifern beispiellosen Zugang zu sensiblen Daten verschafft: E-Mails, Dateien, interne Anwendungen und zentrale Cloud-Infrastruktur. Die potenziellen Schäden wären verheerend gewesen. Datendiebstahl in großem Stil, das Installieren von Hintertüren oder die Erstellung neuer Administratoren-Konten – alles wäre möglich gewesen, während der Angreifer als legitimer, hochprivilegierter Nutzer aufgetreten wäre.

Besonders beunruhigend war die Heimlichkeit des Exploits: Da normale Anmeldeverfahren umgangen wurden, wären keine typischen Audit-Protokolle erstellt worden. Eine Entdeckung wäre praktisch unmöglich gewesen.

Anatomie der Attacke: Wie veraltete APIs zur Gefahr wurden

Die Schwachstelle entstand durch ein kritisches Token-Validierungsproblem, das zwei Schlüsselkomponenten betraf: undokumentierte Backend-Token und einen Fehler in einer veralteten API. Mollema fand heraus, dass spezielle Service-zu-Service-Token, sogenannte "Actor-Token", in einer angreifergesteuerten Umgebung generiert werden konnten.

Das zweite Puzzleteil war eine Validierungslücke in der Legacy Azure AD Graph API. Diese veraltete Schnittstelle prüfte nicht ordnungsgemäß, aus welchem Tenant das Actor-Token stammte. Angreifer konnten so ein Impersonation-Token mit Informationen aus ihrem eigenen Tenant erstellen und mit öffentlich verfügbaren Daten einer Zielorganisation kombinieren. Das Ergebnis: ein gültiger Token mit den Berechtigungen beliebiger Nutzer im Zielsystem – bis hin zum globalen Administrator.

Schnelle Reaktion: Von der Entdeckung zur Behebung

Die Zeitspanne zwischen Entdeckung und Behebung war bemerkenswert kurz. Mollema meldete die Schwachstelle am 14. Juli 2025 an Microsofts Security Response Center. Bereits drei Tage später, am 17. Juli, war ein globaler Fix ausgerollt. Weitere Schutzmaßnahmen folgten in den darauffolgenden Monaten.

Microsoft bestätigte, das Problem "schnell behoben" und die Stilllegung des Legacy-Protokolls als Teil der Secure Future Initiative beschleunigt zu haben. Das Unternehmen betonte, keine Hinweise auf eine Ausnutzung der Schwachstelle gefunden zu haben. Kunden mussten keine eigenen Maßnahmen ergreifen.

Lehren aus der Krise

Dieser Vorfall verdeutlicht die immense Risikokomprimierung in Cloud-Identitätsplattformen. Als zentrales Nervensystem unzähliger Unternehmen, Behörden und Bildungseinrichtungen stellt Entra ID ein hochattraktives Ziel für Cyberkriminelle dar. Ein einziger architektonischer Fehler kann globale Auswirkungen haben.

Die Verbindung zu einer veralteten API ist eine deutliche Mahnung vor der Sicherheitsschuld, die sich in komplexen Cloud-Umgebungen anhäufen kann. Die Azure AD Graph API sollte bereits seit 2019 außer Betrieb genommen werden. Dieser Vorfall zeigt, wie veraltete Komponenten unvorhergesehene Sicherheitslücken schaffen können.

Sicherheitsexperten raten Unternehmen dringend, diese Warnung als Chance zu nutzen, ihre Cloud-Sicherheit zu überprüfen und zu stärken. Die Migration von der veralteten Azure AD Graph API zur modernen Microsoft Graph API sollte höchste Priorität haben. Zusätzlich sollten Sicherheitsteams Anwendungen auf veraltete Abhängigkeiten prüfen und robuste Überwachungssysteme für anomale Token-Aktivitäten implementieren.