Bulut tabanlı kimlik yönetimi günümüzde dijital güvenliğin temel taşlarından biri haline geldi. Ancak geçtiğimiz Temmuz ayında ortaya çıkan CVE-2025-55241 numaralı kritik açık bu alandaki en güvenilir platformlardan biri olan Microsoft Entra ID’yi sarsıcı bir şekilde gündeme taşıdı.
Bu zafiyet Entra ID’nin “actor token” adı verilen token doğrulama mekanizmasındaki bir zayıflıktan kaynaklanıyordu.
Saldırganlar bu açığı kullanarak teoride başka bir tenant içindeki herhangi bir kullanıcıyı hatta Global Admin seviyesindeki hesapları bile taklit edebilecek durumdaydı.
Düşünün bir bulut hizmetinde yönetici kimliğini ele geçirebilmek işte bu yüzden uzmanlar bu açığı “olağanüstü kritik” olarak nitelendiriyor.
14 Temmuz 2025’te güvenlik araştırmacıları bu durumu Microsoft’a bildirdi. Şirket potansiyel etkisini gördüğünde hızlı bir şekilde harekete geçti ve yalnızca 9 gün içinde yamayı devreye aldı. Bu hızlı tepki olası felaket senaryolarının önüne geçilmesini sağladı.
Aslında Microsoft Azure AD Graph API’nin kullanımını geçen yıl sonlandırma sürecine sokmuş bu sonbaharda ise tamamen devreden çıkaracağını duyurmuştu.
Ancak CVE-2025-55241 bu geçiş sürecinin ne kadar kritik olduğunu ve eski API’lere bağımlılığın ne gibi riskler barındırdığını gözler önüne serdi.
Kısaca özetlemek gerekirse:
- Actor token mekanizması bir kullanıcının kimlik doğrulama akışlarında kullanılmak üzere tasarlanmıştı.
- Ancak doğrulama sürecindeki bir eksiklik bu token’ların farklı tenant’larda da geçerli kabul edilmesine yol açıyordu.
- Sonuç olarak saldırgan kendi ortamında ürettiği bir token ile bambaşka bir tenant’taki kullanıcıyı taklit edebiliyor, Conditional Access gibi politikaları atlatabiliyordu.
Bu da klasik güvenlik kontrollerinin ötesine geçen, oldukça sofistike bir saldırı yüzeyi oluşturuyordu.
Kurumların Atması Gereken Adımlar
Microsoft yamayı yayımladı peki sizin kurumunuzun güvenliği için hangi adımlar atılmalı?
İşte kritik öneriler:
1. Güncellemeleri Hemen Uygulayın
- Tenant ortamınızda bekleyen yamaları gecikmeden yükleyin.
- Microsoft Security Update Guide üzerinden CVE-2025-55241 sayfasını düzenli kontrol edin.
2. Token Kullanımlarını İzleyin
- Özellikle actor token kullanılan işlemleri takip edin.
- SIEM üzerinde tenantlar arası erişim girişimlerini raporlayın.
- Defender for Cloud Apps veya Sentinel gibi çözümlerle görünmeyen aktiviteleri de kayıt altına alın.
3. Erişim Kurallarını Güçlendirin
- Conditional Access politikalarınızı yeniden gözden geçirin MFA, cihaz uyumluluğu, lokasyon bazlı kısıtlamalar gibi ek güvenlik katmanlarını devreye alın.
- PIM (Privileged Identity Management) kullanıyorsanız admin yetkilerini yalnızca ihtiyaç anında devreye sokun.
- “En az yetki” prensibini katı bir şekilde uygulayın.
4. Tenantlar Arası Güveni Yeniden Değerlendirin
- Birden fazla tenant kullanan kurumlar cross-tenant access ayarlarını kontrol etmeli.
- Entra Admin Center → External Identities → Cross-tenant access bölümünden sadece gerekli izinleri bırakın.
5. Olay Müdahalesi ve İzleme
- Son 30–60 günlük logları tarayın olağandışı admin atamaları, uygulama kayıt değişiklikleri veya Conditional Access politikalarında beklenmedik düzenlemeler var mı kontrol edin.
- Şüpheli bir durum tespit ederseniz:
- İlgili oturumları zorla sonlandırın.
- Parolaları ve MFA yöntemlerini sıfırlayın.
- Uygulama kayıtlarının gizli anahtarlarını (secret/sertifika) yenileyin.
Microsoft hızlı davranarak bu büyük riski kapattı. Ancak bu olay kimlik güvenliği konusunda hiçbir zaman rehavete kapılmamamız gerektiğini bir kez daha kanıtladı. Yöneticiler için en büyük görev yamaları anında uygulamanın ötesinde, token kullanımını izleyecek, erişim politikalarını güçlendirecek ve şüpheli aktiviteleri hızla yakalayacak süreçler kurmak olmalı. Bulut çağında güvenlik sadece üreticiye değil yöneticilerin disiplinli takip ve denetim süreçlerine de bağlı. CVE-2025-55241 bu gerçeğin en güncel hatırlatıcısı oldu.
