Vulnerabilità Cross-Tenant Microsoft Entra ID CVE-2025-55241 sicurezza cloud

La sicurezza dei sistemi cloud enterprise è costantemente messa alla prova da ricercatori e cybercriminali che cercano vulnerabilità nei componenti più critici delle infrastrutture digitali. La recente scoperta di una grave vulnerabilità di escalation di privilegi cross-tenant in Microsoft Entra ID rappresenta un esempio perfetto di come componenti legacy e meccanismi interni poco documentati possano creare rischi significativi per la sicurezza aziendale.

Questa vulnerabilità, identificata dal ricercatore Dirk-Jan Mollema e classificata come CVE-2025-55241, ha dimostrato come sia possibile superare l’isolamento tra tenant diversi, permettendo a un attaccante di assumere privilegi da amministratore globale in qualsiasi tenant Entra ID. Analizziamo nel dettaglio questa scoperta e le sue implicazioni per la sicurezza delle organizzazioni.

La Meccanica della Vulnerabilità: Actor Tokens e Azure AD Graph API

La vulnerabilità sfrutta una combinazione letale di due componenti critici del sistema Microsoft Entra ID che, presi singolarmente, potrebbero sembrare innocui ma che insieme creano una breccia di sicurezza devastante.

Actor Tokens: I Token di Impersonificazione Nascosti

Il primo elemento chiave sono gli Actor tokens, token di impersonificazione non documentati utilizzati da Microsoft per la comunicazione service-to-service. Questi token speciali operano a un livello di sistema che bypassa molte delle normali restrizioni di sicurezza:

• Funzionano al di fuori delle politiche di Conditional Access standard
• Non sono soggetti alle normali validazioni di appartenenza al tenant
• Permettono l’impersonificazione di servizi critici del sistema
• Sono progettati per operazioni interne di Microsoft, non per uso esterno

L’API Legacy Azure AD Graph: Il Punto Debole

Il secondo componente vulnerabile è l’API legacy Azure AD Graph, che presentava una grave lacuna nella validazione dell’appartenenza al tenant. Questa API, mantenuta per compatibilità con sistemi più vecchi, non verificava correttamente se un token appartenesse effettivamente al tenant target dell’operazione.

La combinazione di questi due elementi creava una situazione in cui un account anche di test poteva generare token Actor validi che venivano accettati da sistemi in tenant completamente separati, demolendo di fatto l’isolamento fondamentale dell’architettura multi-tenant di Microsoft.

L’Impatto Devastante: Escalation Cross-Tenant

Le conseguenze di questa vulnerabilità sono particolarmente gravi perché permettono quello che viene definito escalation orizzontale dei privilegi. Invece di limitarsi a elevare i privilegi all’interno dello stesso tenant, un attaccante poteva letteralmente “saltare” da un tenant all’altro.

Scenari di Attacco Reali

Gli scenari possibili includevano:

• Compromissione aziendale su larga scala: Un attaccante con accesso a un singolo tenant di test poteva potenzialmente accedere a tutti i tenant Entra ID
• Bypass delle politiche di sicurezza: Tutte le misure di Conditional Access venivano aggirate
• Assunzione di privilegi amministrativi: Possibilità di ottenere ruoli da amministratore globale in tenant target
• Persistenza attraverso tenant multipli: Creazione di backdoor in sistemi apparentemente isolati

Questo tipo di vulnerabilità è particolarmente pericolosa perché colpisce il cuore dell’architettura di sicurezza cloud, dove l’isolamento tra tenant diversi è considerato un principio fondamentale e inviolabile.

La Risposta di Microsoft e le Misure Correttive

Dopo la segnalazione responsabile da parte di Mollema al Microsoft Security Response Center, l’azienda ha agito rapidamente per mitigare il rischio. Le azioni intraprese includono:

Patch Immediate

• Eliminazione della possibilità di richiedere token Actor per l’API Azure AD Graph
• Implementazione di controlli più stringenti nella validazione dei token cross-tenant
• Rafforzamento dell’isolamento tra tenant diversi
• Aggiornamento delle procedure di autenticazione e autorizzazione

Vulnerabilità Correlate

La ricerca ha anche evidenziato vulnerabilità correlate che seguono pattern simili, come l’escalation tramite app Entra ID che permetteva la compromissione del Service Principal di Exchange Online. Anche queste sono state risolte nell’agosto 2025 attraverso aggiornamenti mirati.

Implicazioni per la Sicurezza Enterprise

Questa scoperta solleva questioni importanti sulla sicurezza delle architetture cloud complesse. I componenti legacy, spesso mantenuti per compatibilità, possono diventare anelli deboli nella catena di sicurezza, specialmente quando interagiscono con meccanismi interni non sufficientemente documentati o testati.

Lezioni Apprese

Le organizzazioni dovrebbero considerare questi punti chiave:

• Audit regolari dei componenti legacy: Sistemi più vecchi potrebbero non implementare i controlli di sicurezza più recenti
• Principio di fiducia zero: Anche i token interni dovrebbero essere soggetti a validazioni rigorose
• Monitoraggio cross-tenant: Implementazione di sistemi di rilevamento per attività anomale tra tenant diversi
• Documentazione completa: Tutti i meccanismi di autenticazione e autorizzazione dovrebbero essere completamente documentati e testati

Raccomandazioni per Amministratori Entra ID

Per prevenire simili vulnerabilità e proteggere l’ambiente da escalation di privilegi, gli amministratori dovrebbero implementare le seguenti best practices:

Monitoraggio e Audit

• Implementare monitoraggio continuo dei privilegi per rilevare elevazioni anomale
• Configurare alert per attività cross-tenant sospette
• Eseguire audit regolari delle configurazioni di sicurezza
• Verificare periodicamente i permessi assegnati a service principal e applicazioni

Configurazione Sicura

• Applicare il principio del privilegio minimo a tutti gli account di servizio
• Rimuovere permessi eccessivi o non necessari
• Mantenere aggiornate tutte le configurazioni di sicurezza
• Implementare politiche di Conditional Access robuste su tutti i livelli

Gestione degli Aggiornamenti

• Mantenere tutti i sistemi aggiornati con le ultime patch di sicurezza
• Seguire le comunicazioni di sicurezza di Microsoft per vulnerabilità emergenti
• Testare gli aggiornamenti in ambienti isolati prima del deployment in produzione

La vulnerabilità CVE-2025-55241 rappresenta un importante promemoria di come la Sicurezza dei sistemi cloud enterprise richieda una vigilanza costante. Anche i provider più affidabili possono avere componenti vulnerabili, e la combinazione di sistemi legacy con meccanismi interni complessi può creare rischi imprevisti.

Per le organizzazioni che utilizzano Microsoft Entra ID, è fondamentale mantenere una postura di sicurezza proattiva, con monitoraggio continuo, configurazioni sicure e aggiornamenti tempestivi. Solo attraverso un approccio olistico alla sicurezza è possibile proteggere efficacemente le infrastrutture digitali aziendali da vulnerabilità sofisticate come quella scoperta da Mollema.

La lezione più importante da questa scoperta è che nessun sistema è immune da vulnerabilità, e la sicurezza deve essere vista come un processo continuo di miglioramento e adattamento, non come uno stato statico da raggiungere una volta per tutte.