Skjult sårbarhed i Microsoft Entra ID lod hackere omgå MFA og alle betingede adgangsregler

Byrne opdagede, at mekanismen havde en kritisk svaghed. Problemet opstod specifikt, når ADIbizaUX-klienten – Azure Portals IAM-styringskomponent – brugte en cachet Azure Portal refresh-token til at anmode om et adgangstoken til Microsoft Graph API . Normalt bliver refresh-token-udvekslinger evalueret af betinget adgang, men NetSPI fandt, at når NAA-flowet med ADIbizaUX blev brugt mod Microsoft Graph, blev betinget adgang slet ikke evalueret . Et adgangstoken blev udstedt uanset hvilke politikker, der var konfigureret. Yderligere to Microsoft Intune portal-udvidelses-klient-ID'er udviste samme adfærd .

Angrebsscenario: Post-kompromittering uden opsporing

Angrebet kræver en specifik forudsætning – en stjålet Azure Portal refresh-token – men er yderst effektivt til lateral bevægelse og vedholdenhed . Scenariet forløber i fire trin:

1. Indledende kompromittering: Angriberen stjæler først en gyldig Azure Portal refresh-token, for eksempel via phishing, adversary-in-the-middle (AITM)-proxyangreb mod login.microsoftonline.com eller andre token-tyverimetoder .
2. Token-formidling via NAA: Angriberen bruger den stjålne Azure Portal refresh-token og NAA-flowet (via ADIbizaUX eller Intune-udvidelserne) til stille at bytte den til et Microsoft Graph-adgangstoken .
3. Omgå alle kontroller: Graph-tokenet udstedes uden nogen evaluering af betinget adgang – ingen MFA-prompt, ingen enhedskompatibilitet, ingen lokationsbegrænsning – selvom politikkerne er eksplicit konfigureret .
4. Vedholdenhed og lateral bevægelse: ADIbizaUX har brede, forhåndsgodkendte Graph-rettigheder og eksponerer uofficielle API'er til styring af brugere, grupper, serviceprincipaler, applikationer, mapper og endda betingede adgangspolitikker – alt sammen uden logning, så handlingerne forbliver fuldstændig uopdagede .

Sårbarheden har begrænsninger. Den stjålne Azure Portal refresh-token har en fast levetid på 24 timer og kan ikke fornyes, hvilket begrænser vedholdenhedsvinduet . Angriberen skal allerede have en offerets refresh-token, så dette er en post-kompromitterings-escalerings- og vedholdenhedsteknik, ikke en ekstern kodeudførelse . Ikke desto mindre blev omgåelsen klassificeret som medium severity af Microsoft Security Response Center (MSRC) .

Microsofts svar: Server-side rettelse uden CVE

NetSPI rapporterede problemet til MSRC den 17. marts 2026 . MSRC klassificerede det som en medium severity-sårbarhed og implementerede en rettelse på serversiden. Test efter rettelsen bekræfter, at de tidligere succesfulde NAA-flow nu korrekt returnerer AADSTS53003-fejl, når en betinget adgangspolitik er aktiv . Microsoft tildelte ikke et CVE-nummer for dette specifikke problem, og rettelsen krævede ingen kundehandling .

En bredere kontekst: To omgåelser afsløret samme dag

Den 22. juni 2026 afslørede forskere to separate Entra-omgåelsesmetoder på samme dag :

Microsofts bredere ændringer i betinget adgang i 2026

Ud over at rette NAA-omgåelsen har Microsoft i løbet af 2026 gradvist lukket huller i håndhævelsen af betinget adgang:

• 27. marts 2026 – juni 2026 (faset): Microsoft ændrede, hvordan politikker, der målretter "Alle ressourcer", håndhæves, når de inkluderer ressourceudeladelser. Tidligere kunne logins, der kun anmoder om baseline OIDC-scopes (som openid, profile, User.Read), omgå betinget adgang helt, hvis en politik havde en ressourceudeladelse. Ændringen sikrer, at politikker med udeladelser stadig evalueres mod "Alle ressourcer"-scopet . Microsoft underrettede berørte lejere via Message Center-indgang MC1223829 .

• 15. juni 2026: Microsoft begyndte håndhævelse af baseline scope enforcement specifikt for resource-udeladelses-omgåelsen, og lukkede dermed den Graph-token-omgåelsesrute, som Dirk-jan Molenaar afslørede .

• 31. marts 2026: Microsoft håndhævede pensioneringen af serviceprincipal-løs autentificering for ikke-Microsoft-multitenant-applikationer. Alle applikationer skal autentificere med en registreret serviceprincipal; ellers vil login-flow fejle .

• Juni 2026: Microsoft annoncerede bredere Entra ID-sikkerhedsopdateringer, herunder udskiftning af Custom controls med External MFA, konsekvent håndhævelse af betinget adgang under legitimationsregistrering og krav om eksplicit registrerede autentificeringsmetoder til Self-Service Password Reset (SSPR) .

Vigtige pointer for forsvarere

• NAA-omgåelsen er rettet server-side. Ingen lejer-side handling er nødvendig for NetSPI's specifikke fund .
• For resource-udeladelses-omgåelsen: Aktivér baseline scope enforcement-indstillingen i Entra Admin Center for at sikre korrekt CA-evaluering .
• Overvåg for AADSTS53003-fejlkoden, som nu korrekt blokerer uautoriserede NAA-baserede token-udvekslinger .
• De uofficielle API'er i ADIbizaUX, der kan operere uden logning, er stadig en bekymring – organisationer bør overvåge Azure Portal-loginlogs og token-udstedelsesmønstre nøje .
• Med serviceprincipal-løs autentificering pensioneret pr. 31. marts 2026 skal alle multitenant-apps have registrerede serviceprincipaler .