{"id":11019,"date":"2025-09-22T12:38:19","date_gmt":"2025-09-22T18:38:19","guid":{"rendered":"https:\/\/beaconlab.us\/?post_type=publicacion&#038;p=11019"},"modified":"2025-09-22T12:38:20","modified_gmt":"2025-09-22T18:38:20","slug":"alerta-2025-76-vulnerabilidad-critica-en-azure-entra-id","status":"publish","type":"publicacion","link":"https:\/\/beaconlab.us\/es\/publicacion\/alerta-2025-76-vulnerabilidad-critica-en-azure-entra-id\/","title":{"rendered":"Alerta 2025-76 Vulnerabilidad cr\u00edtica en Azure Entra ID"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Producto(s) afectado(s):&nbsp;<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Azure Entra ID<\/strong> (antes Azure Active Directory)<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Descripci\u00f3n<\/h2>\n\n\n\n<p>El pasado julio, Dirk-jan Mollema, investigador de seguridad de Outsider Security, descubri\u00f3 y report\u00f3 al Centro de Respuestas de Seguridad de Microsoft (MSRC) una <strong>vulnerabilidad cr\u00edtica<\/strong> que radica en un fallo en el mecanismo de validaci\u00f3n de tokens dentro de Azure Entra ID, la cual <strong>permit\u00eda acceso total a recursos, creaci\u00f3n de cuentas, elevaci\u00f3n de privilegios y manipulaci\u00f3n de identidades<\/strong> en el tenant v\u00edctima. Esta vulnerabilidad <strong>CVE-2025-55241<\/strong><strong> <\/strong>fue categorizada con un puntaje <strong>CVSS de 10.0<\/strong>, reflejando su facilidad de explotaci\u00f3n y el impacto total sobre confidencialidad, integridad y disponibilidad.<\/p>\n\n\n\n<p>El servicio emite \u201cActor tokens\u201d, un tipo especial de credencial que permite a una aplicaci\u00f3n o servicio actuar en nombre de un usuario. Estos tokens deber\u00edan estar restringidos al <strong>tenant de origen<\/strong>, sin embargo, el API legado <strong>Azure AD Graph<\/strong> no validaba correctamente el campo tid (tenant ID) cuando recib\u00eda un Actor token.<\/p>\n\n\n\n<p>Esto significaba que un atacante pod\u00eda:<\/p>\n\n\n\n<ol start=\"1\" class=\"wp-block-list\">\n<li>Crear o comprometer un tenant bajo su control.<\/li>\n\n\n\n<li>Solicitar un Actor token v\u00e1lido desde dicho tenant.<\/li>\n\n\n\n<li>Reutilizar ese token contra el API de otro tenant v\u00edctima.<\/li>\n\n\n\n<li>Hacerse pasar por cualquier usuario del tenant destino, incluyendo cuentas con privilegios de <strong>Global Administrator<\/strong>.<\/li>\n<\/ol>\n\n\n\n<p>El impacto se agrava porque:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Los <strong>Actor tokens<\/strong> no estaban sujetos a <strong>pol\u00edticas de acceso condicional<\/strong> ni requer\u00edan MFA, lo que permit\u00eda evadir controles adicionales de autenticaci\u00f3n.<\/li>\n\n\n\n<li>El uso de estos tokens generaba registros limitados en los logs de auditor\u00eda, reduciendo la visibilidad de los equipos de seguridad.<\/li>\n\n\n\n<li>La vulnerabilidad permit\u00eda acceso total a recursos, creaci\u00f3n de cuentas, elevaci\u00f3n de privilegios y manipulaci\u00f3n de identidades en el tenant v\u00edctima.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Mitigaci\u00f3n y soluci\u00f3n:<\/h2>\n\n\n\n<p>Microsoft ya despleg\u00f3 mitigaciones de forma global a mediados de julio de 2025:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Se corrigi\u00f3 la l\u00f3gica de validaci\u00f3n del tenant ID en la aceptaci\u00f3n de Actor tokens dentro de Azure AD Graph.<\/li>\n\n\n\n<li>Se bloquearon los escenarios en los que un token de un tenant pod\u00eda ser reutilizado en otro tenant.<\/li>\n\n\n\n<li>Se aceler\u00f3 la deshabilitaci\u00f3n definitiva de Azure AD Graph API, promoviendo la migraci\u00f3n total a Microsoft Graph API, que s\u00ed implementa controles modernos de validaci\u00f3n.<\/li>\n<\/ul>\n\n\n\n<p><strong>Recomendaciones para administradores:<\/strong><\/p>\n\n\n\n<ol start=\"1\" class=\"wp-block-list\">\n<li><strong>Confirmar que su tenant ya recibi\u00f3 la actualizaci\u00f3n<\/strong> autom\u00e1tica desplegada por Microsoft.<\/li>\n\n\n\n<li><strong>Migrar urgentemente de Azure AD Graph a Microsoft Graph<\/strong>, dado que el API legado quedar\u00e1 fuera de soporte y representa un riesgo estructural.<\/li>\n\n\n\n<li><strong>Auditar cuentas y roles privilegiados<\/strong>, buscando accesos inusuales, creaci\u00f3n de aplicaciones o delegaciones sospechosas.<\/li>\n\n\n\n<li><strong>Revisar logs y alertas en Microsoft Entra ID Protection<\/strong> para detectar intentos de explotaci\u00f3n.<\/li>\n\n\n\n<li><strong>Aplicar el principio de privilegio m\u00ednimo<\/strong> y revisar asignaciones de \u201cGlobal Admin\u201d, reduciendo la superficie de impacto.<\/li>\n<\/ol>\n\n\n\n<h2 class=\"wp-block-heading\">Informaci\u00f3n adicional:<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/thehackernews.com\/2025\/09\/microsoft-patches-critical-entra-id.html\">Microsoft Patches Critical Entra ID Flaw Enabling Global Admin Impersonation Across Tenants<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/unaaldia.hispasec.com\/2025\/09\/microsoft-soluciona-grave-vulnerabilidad-en-entra-id-que-permitia-suplantar-cualquier-identidad.html\">Microsoft soluciona grave vulnerabilidad en Entra ID que permit\u00eda suplantar cualquier identidad &#8211; Una Al D\u00eda<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/cybersecuritynews.com\/microsofts-entra-id-vulnerability\/\">Critical Microsoft&#8217;s Entra ID Vulnerability Allows Attackers to Gain Complete Administrative Control<\/a><\/li>\n<\/ul>\n\n\n\n<p><\/p>\n","protected":false},"featured_media":11021,"template":"","class_list":["post-11019","publicacion","type-publicacion","status-publish","has-post-thumbnail","hentry"],"acf":{"activar_pdf_link":false,"pdf":null,"numero_de_boletin":"76","traffic_light_protocol":"White"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11019","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/publicacion"}],"version-history":[{"count":1,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11019\/revisions"}],"predecessor-version":[{"id":11022,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11019\/revisions\/11022"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media\/11021"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=11019"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}