Microsoft retter kritisk sårbarhet i Entra ID som muliggjorde Global Admin-imitasjon på tvers av tenants. Nytt EDR-Freeze-verktøy bruker Windows WER til å suspendere sikkerhetsprogramvare.
Microsoft retter kritisk sårbarhet i Entra ID som muliggjorde Global Admin-imitasjon på tvers av tenants
Microsoft har fikset en kritisk sårbarhet i Entra ID (tidligere Azure Active Directory), sporet som CVE-2025-55241 (CVSS 10.0). Feilen lå i valideringen av service-to-service tokens via den utdaterte Azure AD Graph API, som gjorde det mulig å utgi seg for enhver bruker på tvers av tenants. Dette kunne gi full kompromittering av tjenester som SharePoint Online, Exchange Online og Azure-ressurser. Sårbarheten har blitt fikset av Microsoft, uten behov for kundetiltak.
Microsoft oppfordrer organisasjoner til å migrere fra den utdaterte Azure AD Graph API til Microsoft Graph, ettersom Graph API ble offisielt avviklet 31. august 2025.
Nytt EDR-Freeze-verktøy bruker Windows WER til å suspendere sikkerhetsprogramvare
En ny proof-of-concept-metode kalt EDR-Freeze viser hvordan angripere kan bruke Windows Error Reporting (WER) sammen med MiniDumpWriteDump API til å sette sikkerhetsprogrammer som EDR og antivirus i en permanent "frys"-tilstand. Teknikken fungerer helt fra brukermodus, og ble testet på Windows 11 24H2 der Windows Defender ble lammet. Metoden utnytter en race condition mellom WerFaultSecure og MiniDumpWriteDump.
Forsvar mot metoden kan oppnås ved å overvåke om WER peker mot sensitive prosesser (f.eks. LSASS, EDR/AV-verktøy).
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.