22. September 2025 Kritische Sicherheitslücke in Microsoft Entra ID: Was Unternehmen wissen müssen Microsoft hat im August 2025 eine der kritischsten Sicherheitslücken in der Geschichte von Microsoft Entra ID (ehemals Azure Active Directory) geschlossen. Die Schwachstelle, die als CVE-2025-55241 katalogisiert wurde, hätte theoretisch jeden Entra ID-Mandanten weltweit kompromittieren können. Die Sicherheitslücke wurde von dem renommierten Sicherheitsforscher Dirk-jan Mollema entdeckt und verantwortungsvoll an Microsoft gemeldet. Seine detaillierte technische Analyse finden Sie in seinem ursprünglichen Blog-Post . Das Problem: «Actor Tokens» Im Zentrum der Sicherheitslücke standen sogenannte «Actor Tokens» – spezielle Authentifizierungstoken, die Microsoft intern für die Kommunikation zwischen verschiedenen Services verwendet. Diese Token waren ursprünglich für legitime Zwecke entwickelt worden, um beispielsweise Exchange Online zu ermöglichen, im Namen von Benutzern mit anderen Microsoft-Diensten zu kommunizieren. Warum war das so gefährlich? Die Kombination aus zwei Faktoren machte diese Schwachstelle besonders kritisch: Fehlende Validierung: Die veraltete Azure AD Graph API überprüfte nicht ordnungsgemäss, aus welchem Mandanten ein Token stammte Mandantenübergreifender Zugriff: Mit einem Token aus dem eigenen Test-Mandanten konnten Angreifer sich als beliebige Benutzer - einschliesslich Global Administratoren - in völlig fremden Mandanten authentifizieren Die Auswirkungen Ein Angreifer hätte mit dieser Schwachstelle: Vollzugriff auf alle Benutzerdaten in jedem Entra ID-Mandanten erhalten, administrative Rechte übernehmen können, alle Sicherheitsrichtlinien umgehen können, da «Actor Tokens» nicht von Conditional Access-Richtlinien erfasst werden. Und: Keine Spuren hinterlassen, da diese Aktionen nicht protokolliert wurden. Besonders problematisch: Die Kettenreaktion Die Schwachstelle war noch gefährlicher durch die Art, wie Microsoft Entra ID B2B-Kollaborationen (Business-to-Business) handhabt. Angreifer hätten: Gastbenutzer in einem Mandanten identifiziert, deren Heimat-Mandanten kompromittiert, von dort aus weitere Mandanten übernommen und eine exponentielle Ausbreitung über das gesamte Microsoft-Ökosystem erreicht. Microsoft reagierte vorbildlich schnell: Innerhalb von 3 Tagen nach der Meldung wurde ein Fix ausgerollt und zusätzliche Schutzmassnahmen wurden implementiert. Zudem wurden keine bekannten Missbrauchsfälle durch Microsoft's interne Telemetrie festgestellt. Was bedeutet das für Ihr Unternehmen? Die gute Nachricht: Die Schwachstelle wurde bereits behoben. Da Actor Tokens aber keine Protokollierung generieren und auch deren Nutzung nicht in den Audit-Logs erscheint, kann nicht mit Sicherheit festgestellt werden, ob diese Schwachstelle bereits missbraucht wurde. Microsoft konnte nur bestätigen, dass in ihrer internen Telemetrie keine verdächtigen Aktivitäten entdeckt wurden – ein Angriff über Actor Tokens wäre jedoch praktisch unsichtbar gewesen. Dieser Vorfall zeigt einmal mehr, wie wichtig ein umfassendes Sicherheitskonzept ist. Empfehlungen für Unternehmen Also sofortige Massnahmen sollten Sie Ihre Entra ID-Auditprotokolle auf verdächtige Aktivitäten überprüfen, eine Kontrolle aller administrativen Konten durchführen und Ihre Incident Response-Pläne aktualisieren. Langfristig gedacht, sollten Sie folgende Massnahmen ergreifen oder überarbeiten: 1. Notfallpläne entwickeln Erstellen Sie detaillierte Pläne für den Fall einer Kompromittierung Definieren Sie klare Verantwortlichkeiten und Eskalationswege Führen Sie regelmässige Notfall-Übungen durch 2. Backup-Strategien optimieren Implementieren Sie sowohl lokale als auch Cloud-Backups Testen Sie regelmässig die Wiederherstellbarkeit Ihrer Daten Stellen Sie sicher, dass Backups von der primären IT-Infrastruktur isoliert sind 3. Umfassende Cyber Security-Strategie Implementieren Sie Zero-Trust-Prinzipien Nutzen Sie Multi-Faktor-Authentifizierung konsequent Führen Sie regelmässige Sicherheitsaudits durch Schulen Sie Ihre Mitarbeiter kontinuierlich Fazit Diese Sicherheitslücke war ein Weckruf für die gesamte IT-Branche. Sie zeigt, dass selbst die grössten Cloud-Anbieter nicht vor kritischen Schwachstellen gefeit sind. Umso wichtiger ist es, dass Unternehmen proaktiv in ihre Cyber Security investieren und sich auf den Ernstfall vorbereiten. Kontaktieren Sie uns noch heute, um Ihre IT-Sicherheitsstrategie zu überprüfen. Denn in der heutigen Bedrohungslandschaft ist es nicht die Frage, ob ein Sicherheitsvorfall eintritt, sondern wann – und wie gut Sie darauf vorbereitet sind. Möchten Sie die Sicherheit in Ihrem Unternehmen stärken? Nehmen Sie Kontakt mit uns auf und erfahren Sie, wie Sie die Awareness Ihrer Mitarbeiter stärken können und Risiken durch externe Angreifer minimieren können. Philippe Regenass Cyber Security Engineer regenass@avolut.ch Schreiben Kopieren Kopiert +41 44 974 26 79 Anrufen Kopieren Kopiert Previous Alle Artikel Weiter