Por Mid 
Microsoft corrige una grave vulnerabilidad en Entra ID que permitía la suplantación de cualquier identidad
Tiempo estimado de lectura: 5 minutos
Dificultad técnica: Alta
Conclusiones clave
- La vulnerabilidad permitía la suplantación de identidad de cualquier usuario, incluidos Administradores Globales.
- La solución se implementó de manera automática el 17 de julio de 2025, sin necesidad de intervención de los usuarios.
- Los atacantes podían eludir la autenticación multifactor (MFA) y los registros de actividades.
- Se aconseja migrar a Microsoft Graph y revisar la configuración de permisos delegados.
- Es fundamental mantener actualizadas las prácticas de seguridad y monitorear eventos inusuales en el sistema.
Índice
- Descripción de la vulnerabilidad
- Origen del problema
- Impacto de la vulnerabilidad
- Recomendaciones para mitigación
- Conclusiones finales
Descripción de la vulnerabilidad
Recientemente, Microsoft ha abordado una vulnerabilidad crítica en Entra ID, anteriormente conocido como Azure Active Directory. Este fallo podría haber posibilitado la suplantación de identidad de cualquier usuario, incluyendo a los Administradores Globales, en cualquier tenant. Con un CVSS de 10.0, se clasifica como de máxima gravedad y ha sido solucionado de forma automática, sin necesidad de intervención por parte de los usuarios.
Origen del problema
En julio pasado, Microsoft resolvió una de las vulnerabilidades más graves de Entra ID (anteriormente Azure Active Directory), detectada por el investigador Dirk-jan Mollema y etiquetada como CVE-2025-55241. Este defecto permitía a los atacantes hacerse pasar por cualquier identidad, incluidos los administradores globales, en cualquier tenant. La empresa ha afirmado que no existe evidencia de explotación activa y que la remediación se realiza de manera completamente automática.
CVE-2025-55241 se originaba debido a una deficiencia en la validación de tokens de servicio a servicio (S2S) emitidos por el Access Control Service (ACS), junto con un fallo en la API heredada de Azure AD Graph (graph.windows.net). Esta combinación de factores permitía que un token generado dentro de un tenant se utilizara en otros tenants, eludiendo los controles de origen y facilitando el acceso transversal entre tenants.
Impacto de la vulnerabilidad
Un aspecto alarmante de esta vulnerabilidad era que los tokens eran válidos incluso bajo políticas de Acceso Condicional, y la ausencia de registros en la API complicaba la detección de un uso indebido. La mayor amenaza era que cualquier atacante podía suplantar un Administrador Global, lo que podría llevar al compromiso total del tenant, permitiendo la creación de cuentas no autorizadas, la exfiltración de datos, modificaciones en permisos e incluso acceso total a recursos en Azure y servicios relacionados como SharePoint y Exchange. Además, los ataques podían evadir la autenticación multifactor (MFA), así como los registros y políticas de acceso, lo que complicaba aún más la detección y respuesta ante incidentes.
Recomendaciones para mitigación
Desde el 17 de julio de 2025, Microsoft ha implementado automáticamente un parche para esta vulnerabilidad, sin requerir acción manual por parte de los clientes. Se aconseja eliminar cualquier dependencia de la API de Azure AD Graph, migrar aplicaciones a Microsoft Graph y revisar la configuración de permisos delegados. Asimismo, es fundamental monitorear las aplicaciones externas y reforzar la revisión periódica de roles y accesos privilegiados.
Conclusiones finales
Este incidente resalta los riesgos inherentes de las APIs heredadas y la necesidad de tener visibilidad sobre los mecanismos de autenticación y delegación en entornos de nube. A pesar de que la vulnerabilidad ha sido cerrada sin consecuencias conocidas, es crucial mantener actualizados los desarrollos y controles, migrar hacia APIs soportadas y estar atentos a eventos inusuales en el sistema para fortalecer la seguridad de los entornos en la nube.