Netcrook Logo
👤 CIPHERWARDEN
🗓️ 17 Oct 2025  

Shadow Tokens: la vulnerabilità di Microsoft Entra ID che ha permesso agli hacker di diventare Global Admin

Una vulnerabilità nascosta nella piattaforma di identità cloud di Microsoft ha esposto le chiavi del regno - senza allarmi, senza log, solo accesso silenzioso per potenziali aggressori.

Fatti Rapidi

  • Microsoft ha corretto una grave falla di Entra ID (Azure AD), CVE-2025-55241, che consentiva l’impersonificazione degli amministratori tra tenant diversi.
  • Il bug era stato inizialmente minimizzato, ma si è poi scoperto che permetteva agli attaccanti di prendere il controllo di qualsiasi account, inclusi i Global Administrator.
  • Gli “actor token”, progettati per i servizi backend, aggiravano i controlli di sicurezza standard e lasciavano quasi nessuna traccia nei log.
  • Microsoft ha risolto il problema in pochi giorni, ma gli esperti avvertono di rischi più ampi nei modelli di fiducia dell’identità cloud.
  • Non sono state trovate prove di sfruttamento, ma l’incidente evidenzia i pericoli delle funzionalità non documentate nelle infrastrutture critiche.

La Chiave Scheletro Invisibile

Immagina una chiave maestra in grado di aprire qualsiasi porta in una vasta città digitale, e nessuno saprebbe che è stata usata. È proprio ciò che il ricercatore di cybersecurity Dirk-Jan Mollema ha scoperto nascosto nella piattaforma Azure Entra ID di Microsoft all’inizio di quest’anno. Mentre si preparava per una conferenza, si è imbattuto in una falla così grave da permettere agli attaccanti di impersonare chiunque - persino il potentissimo Global Administrator - attraverso qualsiasi organizzazione che utilizzasse i servizi cloud di Microsoft.

Come la Falla è Passata Inosservata

Al centro del problema c’erano gli “actor token” - pass digitali speciali pensati per i servizi backend, non per le persone. Questi token, non documentati e poco compresi al di fuori di Microsoft, sfuggivano alle difese abituali come il Conditional Access, che normalmente controlla chi sta effettuando l’accesso e da dove. Una volta ottenuti, questi token garantivano 24 ore di accesso illimitato, senza possibilità di revoca e con quasi nessun log che ne registrasse l’uso. La vecchia Azure AD Graph API, un residuo delle prime versioni del cloud Microsoft, non verificava la provenienza di questi token. Modificando alcuni identificatori, un attaccante poteva passare dal proprio account al ruolo di Global Admin nel cloud di un’altra azienda, leggendo o persino modificando dati sensibili lungo il percorso.

Echi di Incidenti Passati

Le violazioni delle identità cloud non sono una novità. Nel 2021, l’attacco SolarWinds ha sfruttato debolezze nei sistemi di autenticazione di Microsoft, portando alla compromissione di agenzie governative statunitensi. Allo stesso modo, l’attacco Storm-0558 del 2023 ha utilizzato token falsificati per accedere ad account Outlook. Ogni incidente sottolinea la sfida: man mano che le piattaforme cloud diventano più complesse, backdoor nascoste e funzionalità legacy possono minare anche i migliori piani di sicurezza.

Implicazioni Più Ampie: Fiducia e Trasparenza

Microsoft ha risposto rapidamente, correggendo la vulnerabilità in pochi giorni e disattivando gli actor token per la vecchia API. Ma per molti nel mondo della cybersecurity, l’incidente è un campanello d’allarme. Anders Askasan di Radiant Logic avverte che affidarsi solo alle garanzie dei fornitori è rischioso quando funzionalità non documentate possono aggirare la sicurezza. “È una backdoor ombra,” dice, “senza policy, senza log, senza visibilità.” La lezione: le organizzazioni hanno bisogno di strumenti indipendenti per monitorare i propri sistemi di identità, non solo di fidarsi che il provider cloud abbia tutto sotto controllo.

Man mano che le aziende affidano sempre più fiducia - e dati - al cloud, la falla di Entra ID rappresenta un chiaro monito: anche le fortezze digitali più sofisticate possono essere compromesse da una singola, silenziosa chiave scheletro. La vera sicurezza richiede trasparenza, supervisione indipendente e una sana dose di scetticismo su ciò che si cela sotto la superficie.

WIKICROOK

  • Entra ID (Azure AD): Entra ID (Azure AD) è il servizio cloud di Microsoft per la gestione delle identità degli utenti e il controllo dell’accesso sicuro ad app e risorse.
  • Global Administrator: Un Global Administrator è un utente con i massimi privilegi, in grado di gestire tutte le impostazioni, gli utenti e le funzionalità di sicurezza in un ambiente cloud.
  • Actor token: Un actor token è una credenziale digitale che consente ai servizi software di autenticarsi e interagire in modo sicuro tra loro negli ambienti cloud.
  • API (Application Programming Interface): Un’API è un insieme di regole che consente a diversi sistemi software di comunicare, fungendo da ponte tra applicazioni. Le API sono obiettivi comuni per la cybersecurity.
  • Conditional Access: Il Conditional Access applica policy di sicurezza che limitano l’accesso in base a fattori come posizione dell’utente, dispositivo o livello di rischio per bloccare accessi non autorizzati.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news