Microsoft усунула критичну ваду в Entra ID (CVE-2025-55241, CVSS 10.0) – помилку перевірки токенів, яка дозволяла зловмисникам імітувати будь-якого користувача, включаючи Global Administrators, між різними тенантами. Вразливість, виявлена дослідником Dirk-jan Mollema 14 липня 2025 року та виправлена 17 липня, пов’язана з токенами service-to-service та застарілим Azure AD Graph API, без доказів експлуатації в реальних умовах. Це могло компрометувати кожен тенант Entra ID у світі, за винятком національних хмарних розгортань.

Вплив включає високий ризик несанкціонованого доступу та ескалації привілеїв, що могло призвести до глобальних компрометацій. Mollema заявив: “Недолік дозволяв компрометувати кожен тенант Entra ID у світі, ймовірно, за винятком національних хмарних розгортань.” Користувачам рекомендують застосувати патч негайно та моніторити токени для запобігання подібним загрозам у хмарних середовищах.