Actor Tokens in Entra ID: Die unsichtbare Abkürzung zum Global Admin

Actor Tokens in Entra ID: Die unsichtbare Abkürzung zum Global Admin?

Stell dir vor: Ein einzelner „Token“ also eine Art digitaler Ausweis genügt, um sich in jedem Microsoft Entra ID-Mandanten (Tenant) als Globaler Administrator auszugeben. Und das völlig unbemerkt.
Genau das war möglich durch die sogenannten Actor Tokens und eine Schwachstelle im alten Azure AD Graph-Dienst.
‍

Was sind Actor Tokens?

Actor Tokens sind spezielle Authentifizierungs-Tokens, die Microsoft intern nutzt. Sie erlauben es, dass ein Dienst im Namen eines Benutzers agiert man spricht dabei von „Impersonation“.

Normalerweise gelten für solche Tokens strenge Sicherheitsrichtlinien:
‍

• Sie werden protokolliert
  ‍
• Sie sind an bestimmte Bedingungen gebunden
  ‍
• Sie können widerrufen werden
  ‍

Doch bei diesen speziellen Actor Tokens war das nicht der Fall:
‍

• Es werden keine Logs ausgestellt
  ‍
• Sicherheitsrichtlinien wie Conditional Access werden umgangen
  ‍
• Kein Widerruf möglich, solange der Token gültig ist
  ‍

Damit stellten Actor Tokens ein erhebliches Sicherheitsrisiko dar besonders, wenn sie manipuliert werden konnten.
‍

Schwachstelle im Azure AD Graph-Dienst

Der eigentliche Fehler lag nicht in den Tokens selbst, sondern in der alten Azure AD Graph API dem Vorgänger der heutigen Microsoft Graph API.

Diese API akzeptierte Actor Tokens auch aus fremden Tenants, ohne die Herkunft korrekt zu prüfen. Dadurch wurde folgender Angriff möglich:
‍

1. Ein Angreifer erhält einen gültigen Actor Token in seinem eigenen Tenant.
   ‍
2. Er verändert darin bestimmte Kennzahlen etwa die Tenant-ID und Benutzerkennung.
   ‍
3. Die alte Graph API überprüft diese Werte nicht ausreichend.
   ‍
4. Der manipulierte Token wird akzeptiert und der Angreifer kann sich im Zieltenant als Administrator ausgeben.
   ‍

Besonders kritisch war dabei, dass diese Aktionen kaum nachvollziehbar waren und fast keine Spuren hinterließen.

Warum ist das so gefährlich?

• Vollzugriff auf alle Funktionen: Mit der Lücke hätte man Aktionen ausführen können, die sonst nur Global Admins dürfen etwa Benutzerkonten ändern, Rechte vergeben oder Daten exportieren.
  ‍
• Schwer zu erkennen: Aktionen mit Actor Tokens werden häufig so protokolliert, als kämen sie vom echten Administrator.
  ‍
• Skalierbar: Ein Angreifer hätte theoretisch mehrere Tenants kompromittieren können, wenn er beispielsweise bereits einen Gastzugang hatte oder eine gültige Benutzerkennung (z. B. eine NetID) kannte.
  ‍

Microsofts Reaktion auf die Schwachstelle

Microsoft hat unmittelbar nach dem Bekanntwerden der CVE-2025-55241 darauf reagiert.
Die Möglichkeit, Actor Tokens mit der alten Azure AD Graph API zu verwenden, wurde eingeschränkt.
Zusätzlich wurden weitere Sicherheitsmechanismen eingeführt, um sicherzustellen, dass ähnliche Tokens nicht erneut missbraucht werden können.
‍

Fazit

Der Actor-Token-Vorfall zeigt, wie gefährlich alte Schnittstellen und unklare Berechtigungen in Cloud-Umgebungen sein können.

‍

Das ACDC schützt hier gezielt durch kontinuierliches Security Posture Management und 24/7-Überwachung im SOC.

Auffällige Authentifizierungen oder verdächtige Token-Aktivitäten werden früh erkannt und analysiert. Durch regelmäßige Attack-Risk-Assessments und den monatlichen Jour Fixe fließen aktuelle Erkenntnisse direkt in die Sicherheitsstrategie unserer Kund:innen ein.

‍

So stellt das ACDC sicher, dass ähnliche Angriffe nicht nur erkannt, sondern bereits im Ansatz verhindert werden.