Slik omgikk et sikkerhetshull i Microsoft Entra ID MFA og alle betingede tilgangsregler

Byrne oppdaget at denne mekanismen hadde en kritisk svakhet. Sårbarheten rammet spesielt flyter der ADIbizaUX-klienten – Azure Portals IAM-administrasjonskomponent – vekslet et hurtigbufret Azure Portal-oppdateringstoken inn i et tilgangstoken for Microsoft Graph API . Normalt blir oppdateringstoken-vekslinger vurdert mot betingede tilgangsregler, men NetSPI fant at ved bruk av NAA-flyten med ADIbizaUX mot Microsoft Graph-ressursen ble betingede tilgangsregler overhodet ikke evaluert . Det ble utstedt et tilgangstoken uavhengig av hvilke regler som var konfigurert. Ytterligere to Microsoft Intune portal-utvidelsesklienter viste samme omgåelsesadferd .

Angrepsscenario: Vedvarende tilgang uten oppdagelse

Angrepet krever et spesifikt forutsetning – et stjålet Azure Portal-oppdateringstoken – men er svært effektivt for vedvarende tilgang og lateral bevegelse . Scenarioet utspiller seg i fire trinn:

1. Første kompromittering: Angriperen stjeler først et gyldig Azure Portal-oppdateringstoken, for eksempel via phishing, adverary-in-the-middle (AITM)-proxyangrep rettet mot login.microsoftonline.com, eller andre metoder for token-tyveri .
2. Token-veksling via NAA: Angriperen bruker det stjålne Azure Portal-oppdateringstokenet og NAA-vekslingsflyten (via ADIbizaUX eller Intune-portalutvidelsene) til å stille bytte det inn i et Microsoft Graph-tilgangstoken .
3. Omgå alle kontroller: Graph-tokenet utstedes uten noen evaluering av betinget tilgang – ingen MFA-utfordring, ingen enhetssamsvarsjekk, ingen posisjonsbegrensning – selv om disse reglene er eksplisitt konfigurert .
4. Vedvarende tilgang og lateral bevegelse: ADIbizaUX har brede forhåndssamtykkede Graph-tillatelser og eksponerer udokumenterte API-er for administrasjon av brukere, grupper, tjenesteprinsipper, applikasjoner, kataloger og til og med betingede tilgangsregler – alt uten logging, noe som betyr at handlingene forblir fullstendig uoppdaget .

Sårbarheten har begrensninger. Det stjålne Azure Portal-oppdateringstokenet har en fast levetid på 24 timer og kan ikke fornyes, noe som begrenser mulighetsvinduet for vedvarende tilgang . Angriperen må allerede ha offerets oppdateringstoken, noe som gjør dette til en eskalerings- og persistensmetode etter kompromittering, ikke ekstern kjøring av kode . Likevel ble omgåelsen klassifisert som middels alvorlig av Microsofts Security Response Center (MSRC) .

Microsofts respons: Rettet på serversiden uten CVE

NetSPI rapporterte saken til MSRC den 17. mars 2026 . MSRC klassifiserte den som en sårbarhet av middels alvorlighetsgrad og rullet ut en rettelse på serversiden. Etterretting bekreftet at de tidligere vellykkede NAA-flytene nå korrekt returnerer AADSTS53003-feil som blokkerer tilgang når en betinget tilgangsregel gjelder . Microsoft tildelte ingen CVE for denne spesifikke sårbarheten, og rettelsen krevde ingen handling fra kunden .

Større bilde: To omgåelser av betinget tilgang avslørt samme dag

Den 22. juni 2026 offentliggjorde forskere to separate metoder for å omgå Entra-betinget tilgang :

Microsofts bredere endringer i håndheving av betinget tilgang i 2026

I tillegg til å rette NAA-omgåelsen, har Microsoft gjennom 2026 gradvis tettet hull i håndhevingen av betinget tilgang:

• 27. mars 2026 – juni 2026 (faset): Microsoft endret hvordan regler rettet mot "Alle ressurser" håndheves når de inkluderer ressursekskluderinger. Tidligere kunne pålogginger som kun ba om grunnleggende OIDC-omfang (som openid, profile, User.Read) omgå betinget tilgang fullstendig hvis en regel hadde noen ressursekskludering. Endringen sikrer at regler med ekskluderinger fortsatt evalueres mot omfanget "Alle ressurser" . Microsoft varslet berørte leietakere via Message Center-innføring MC1223829 .
• 15. juni 2026: Microsoft begynte håndheving av omfangsstyring for basisomfang spesifikt for ressursekskluderingsomgåelsen, og lukket dermed Graph-token-omgåelsesveien som Dirk-jan Molenaar avslørte .
• 31. mars 2026: Microsoft håndhevet avviklingen av autentisering uten tjenesteprinsipal for ikke-Microsoft flerleietakerapplikasjoner. Alle applikasjoner må autentisere ved hjelp av en registrert tjenesteprinsipal; ellers vil påloggingsflyter feile .
• Juni 2026: Microsoft kunngjorde bredere Entra ID-sikkerhetsoppdateringer, inkludert erstatning av egendefinerte kontroller med ekstern MFA, konsekvent håndheving av betinget tilgang under legitimasjonsregistrering, og krav om eksplisitt registrerte autentiseringsmetoder for selvbetjent tilbakestilling av passord (SSPR) .

Viktige punkter for IT-sikkerhetsansvarlige

• NAA-omgåelsen er rettet på serversiden. Ingen tiltak på leietakernivå er nødvendig for NetSPI-funnet .
• For ressursekskluderingsomgåelsen: Aktiver omfangsstyring for basisomfang i Entra Admin Center for å sikre korrekt evaluering av betinget tilgang .
• Overvåk etter AADSTS53003-feilkoden, som nå korrekt blokkerer uautoriserte NAA-baserte tokenvekslinger .
• De udokumenterte ADIbizaUX-API-ene som kan operere uten logging, er fortsatt en bekymring – organisasjoner bør overvåke Azure Portal-påloggingslogger og tokenutstedelsesmønstre nøye .
• Med avviklingen av autentisering uten tjenesteprinsipal fra 31. mars 2026, sørg for at alle flerleietakerapper har registrerte tjenesteprinsipler .