Microsoft dicht kritieke kwetsbaarheid in Entra ID

Microsoft heeft een ernstige beveiligingskwetsbaarheid in Entra ID verholpen. Het lek kreeg de maximale CVSS-score van 10.0 en werd als kritiek geclassificeerd. Volgens het bedrijf betrof het een probleem in de component voor identiteits- en toegangsbeheer, waarbij aanvallers misbruik hadden kunnen maken van spoofing-technieken.

De kwetsbaarheid, geregistreerd als CVE-2026-35431, kwam voort uit een server-side request forgery (SSRF). Dit type fout stelt een aanvaller in staat om een server verzoeken te laten uitvoeren naar interne of anderszins afgeschermde systemen. In cloudomgevingen kan dat bijzonder problematisch zijn, omdat interne API’s en metadata-endpoints vaak aanvullende rechten of gevoelige informatie ontsluiten.

In dit geval zou een externe aanvaller via Entra ID toegang hebben kunnen krijgen tot resources binnen een afgeschermd netwerksegment. Daarmee ontstaat een aanvalspad waarbij authenticatie- of autorisatiemechanismen kunnen worden omzeild. Microsoft geeft aan dat het lek kon worden gebruikt voor spoofing-aanvallen, wat erop wijst dat identiteiten of vertrouwensrelaties gemanipuleerd konden worden.

Zoals vaker bij kwetsbaarheden in cloudinfrastructuur publiceert Microsoft slechts beperkte technische details. Het bedrijf licht niet toe welke specifieke endpoints of workflows kwetsbaar waren, noch welke vormen van spoofing concreet mogelijk waren.

De maximale CVSS-score suggereert echter dat:

Dat wijst op een relatief laagdrempelige exploitatie met potentieel brede gevolgen binnen tenant-omgevingen.

Volgens Microsoft was de kwetsbaarheid niet eerder publiek bekend en zijn er geen aanwijzingen dat deze actief is misbruikt. Omdat het om een cloudservice gaat, is het probleem server-side opgelost. Gebruikers en beheerders hoeven daarom geen patches te installeren of configuraties aan te passen.

Dit onderstreept een belangrijk verschil tussen on-premises software en cloudplatforms: beveiligingsupdates worden centraal uitgerold, waardoor mitigatie direct voor alle klanten geldt. Tegelijkertijd betekent dit ook dat organisaties afhankelijk zijn van de transparantie en responstijd van de leverancier.

SSRF-kwetsbaarheden komen vaker voor in complexe web- en cloudapplicaties. Binnen identiteitsplatforms zoals Entra ID zijn ze extra kritisch, omdat deze systemen fungeren als centrale vertrouwenslaag voor authenticatie en autorisatie.

Aanvallen via SSRF kunnen bijvoorbeeld:

Dat maakt dergelijke kwetsbaarheden aantrekkelijk voor aanvallers die zich richten op laterale beweging binnen cloudomgevingen.

Het dichten van kwetsbaarheden zonder klantinteractie is kenmerkend voor Microsofts cloudstrategie. Eerder dit jaar werden vergelijkbare security-problemen opgelost in onder meer Azure Arc, Azure Functions en Azure Front Door. In die gevallen varieerde de impact van privilege-escalatie tot ongeautoriseerde toegang tot gevoelige gegevens.

Hoewel automatische mitigatie de operationele last voor beheerders verlaagt, blijft zicht op kwetsbaarheden beperkt. Organisaties die afhankelijk zijn van Entra ID doen er daarom goed aan om aanvullende monitoring en logging in te zetten, bijvoorbeeld via Microsoft Sentinel of andere SIEM-oplossingen, om afwijkend gedrag tijdig te detecteren.

De kwetsbaarheid in Entra ID illustreert hoe kritisch de beveiliging van identiteitsdiensten is binnen moderne IT-architecturen. Hoewel Microsoft het probleem snel en zonder zichtbare impact voor klanten heeft opgelost, benadrukt de CVSS-score van 10.0 dat de potentiële gevolgen aanzienlijk waren. Transparantie over dergelijke kwetsbaarheden blijft beperkt, wat het voor organisaties lastig maakt om risico’s volledig te beoordelen.