...

One Token to Rule Them All

Categorie: Informatiebeveiliging en Privacy, IT Security | Leestijd: 4 min. | Deel dit artikel

Schrijver: Daniel Hilster, IT Consultant

One Token to Rule Them All: Hoe één token toegang gaf tot elke Entra ID tenan

Welkom bij de eerste blogpost van het Dignitas Workplace-team. Wij zijn een groep ervaren professionals in het ontwerpen, inrichten en ondersteunen van moderne, veilige en duurzame digitale werkplekken. Daarbij maken we vaak gebruik van Microsoft-producten zoals Microsoft 365, Intune, Defender en Azure Virtual Desktop, gecombineerd met Entra ID om in alle situaties veilige toegang te bieden. Ons uitgangspunt: zero trust. Omdat Entra ID en zero-trust principes zo belangrijk zijn binnen moderne werkplekken, starten we met een ontdekking die veel ICT’ers met Microsoft cloud-ervaring zal verbazen.

Een ontdekking die klinkt als een filmplot
Stel je voor: je bent bezig in een testomgeving, speelt met tokens, en ineens ontdek je een kwetsbaarheid waarmee je Global Admin-toegang krijgt tot élke Entra ID-tenant ter wereld. Klinkt als een Hollywood-script, toch? Maar precies dat overkwam securityonderzoeker Dirk-jan Mollema. Tijdens zijn voorbereiding op Black Hat en DEF CON ontdekte hij dat twee kwetsbaarheden samen een geheime sluiproute vormden naar de kroonjuwelen van Microsoft-cloudomgevingen.

Actor tokens: digitale spookrijders
De eerste kwetsbaarheid zat in zogeheten Actor tokens. Dit zijn impersonatie-tokens die Microsoft zelf gebruikt voor service-to-service communicatie. Normale apps hebben hier geen toegang toe, maar Microsoft-apps zoals Exchange Online kunnen ze wel opvragen.

Het probleem?

  • Ze vallen buiten Conditional Access policies.
  • Ze worden niet gelogd.
  • Ze zijn niet in te trekken zolang ze geldig zijn (24 uur).

Met andere woorden: een Actor token gedraagt zich als een digitale spookrijder. Onzichtbaar, onstuitbaar en met volledige toegang.

De echte klapper: de oude Azure AD Graph API
De tweede zwakke plek zat in de legacy Azure AD Graph API. Deze API controleerde niet of een token uit de juiste tenant kwam. Combineer dat met een Actor token uit een testomgeving, en je kon je voordoen als Global Admin in willekeurig welke tenant. Dirk-jan liet zien dat je hiermee gebruikers, groepen, policies en zelfs BitLocker keys in andere tenants kon benaderen, zonder dat er ook maar één logregel verscheen in de doelomgeving.

Impact: van directory tot volledige overname
De gevolgen waren ernstig. Met de rechten van een Global Admin kon je niet alleen lezen, maar ook:

  • Nieuwe identiteiten aanmaken.
  • Rechten uitdelen.
  • Toegang krijgen tot Microsoft 365 en Azure resources.

Omdat de audit logs deze acties toeschreven aan een legitieme Global Admin, was detectie vrijwel onmogelijk. Microsoft heeft de kwetsbaarheid (CVE-2025-55241) inmiddels gepatcht. Volgens hun telemetry is er geen misbruik vastgesteld, maar zoals Dirk-jan zelf aangeeft: zonder logs is dat nooit met zekerheid te zeggen.

Lessen die we hieruit trekken

  • Legacy APIs zijn een risico. De Azure AD Graph API is inmiddels vervangen door Microsoft Graph en gebruik ervan niet meer mogelijk, maar zolang oude interfaces blijven bestaan en toegankelijk zijn, blijven ook oude kwetsbaarheden bestaan.
  • Impersonatie zonder logging is vragen om problemen. Actor tokens zijn krachtig, maar hun gebrek aan transparantie maakt ze gevaarlijk. Microsoft onderkent zelf ook de gevaren van dergelijk tokens in service-to-service communicatie en heeft het gebruik ervan al flink beperkt. Echter of, hoeveel en waar het nog wel wordt toegepast is niet duidelijk.
  • Security by obscurity werkt niet. Deze tokens waren nooit bedoeld voor extern gebruik, maar dat betekent niet dat ze niet misbruikt kunnen worden.

Tot slot
Deze ontdekking laat zien hoe diep je moet graven om echt inzicht te krijgen in cloudbeveiliging en hoe belangrijk transparantie van leveranciers is. Het bevestigt ook dat end-of-life systemen en componenten vaak een groot risico vormen. Vervang ze daarom tijdig door hun opvolgers. Verder is het verstandig om in hybride omgevingen gevoelige accounts strikt te scheiden tussen on-premises en cloud. En ze dus niet te synchroniseren. Bij Dignitas helpen we organisaties om hun ICT-omgeving veilig en toekomstbestendig in te richten. Niet alleen op het gebied van workplace, maar ook rondom data- en informatiebeveiliging, privacy, IAM en software engineering.

Wil je checken of jouw tenant mogelijk geraakt is? Dirk-jan deelt in zijn blog een handige KQL-query om dit na te gaan. Voor een visuele demo kun je zijn tool Roadrecon gebruiken, die laat zien wat een aanvaller had kunnen doen.

👉 Benieuwd naar de volledige deepdive van Dirk-jan Mollema? Lees dan zijn blogpost voor alle details.

Bronnen
Dirk‑jan Mollema — One Token to rule them all: obtaining Global Admin in every Entra ID tenant via …
Microsoft – Azure Entra Elevation of Privilege Vulnerability (CVE-2025-55241)
Microsoft Learn — Migrate your apps from Azure AD Graph to Microsoft Graph (retirement‑tijden &…
Microsoft Security Blog – Enhancing Microsoft 365 security by eliminating high-privilege access
The Hacker News – Microsoft Patches Critical Entra ID Flaw Enabling Global Admin Impersonation Acro…

Deel dit artikel

Gerelateerde berichten

Dignitas Group
Groenekanseweg 70
3732 AG De Bilt Telefoon +31 30 209 9980
E-mail info@dignitas.nl
© 2022 Dignitas Group | Algemene voorwaarden | Privacy statement