Pada 14 Juli 2025 Dirk-jan Mollema yang merupakan Security Researcher dan pendiri Outsider Security melaporkan jika terdapat kesalahan dalam memvalidasi token pada Azure AD Graph API[1]. Kesalahan tersebut menyebabkan penyerang memperoleh Global Admin privileges pada pada setiap tenant Microsoft Entra ID (catatan: Microsoft Entra ID adalah nama baru dari layanan yang sebelumnya dikenal sebagai Azure Active Directory / Azure AD). Akibatnya, penyerang mendapatkan akses penuh ke data sensitif dan kontrol penuh atas konfigurasi, pengguna, serta layanan cloud perusahaan yang terhubung (mis. Microsoft 365, Dropbox, Salesforce)[1].  Serangan tersebut dapat dilakukan secara stealth (terselubung) tanpa meninggalkan jejak pada log autentikasi di tenant korban sehingga sulit terdeteksi yang menambahkan tingkat bahaya pada kerentanan ini[1]. Berdasarkan laporan tersebut, Microsoft merilis patch CVE-2025-55241 pada 4 September 2025 dengan skor maksimum CVSS 10.0[2]. Microsoft mendeskripsikannya sebagai critical privileges escalation vulnerability in Azure Entra[2].

Berikut adalah alur serangan secara sederhana[4]:

1. Penyerang mencari Tenant ID target via API publik (dari domain) dan netId user biasa di tenant target.
2. Actor token (token layanan legacy) dari tenant penyerang digunakan untuk membuat impersonation token yang menyertakan Tenant ID + netId korban.
3. Impersonation token yang dihasilkan digunakan untuk melakukan permintaan ke Azure AD Graph API untuk enumerasi Administrator Global dengan mencatat netId-nya.
4. Dengan menggunakan netId tersebut penyerang dapat membuat impersonation token untuk Administrator Global-nya.
5. Penyerang dapat melakukan aksi administratif (read/write) via Azure AD Graph API dengan menggunakan impersonate token dari Administrator Global.

Karena actor token tidak selalu menghasilkan log autentikasi saat diterbitkan atau digunakan, dan karena eksploit memanfaatkan Azure AD Graph API (API lama) yang memiliki telemetri lebih terbatas, indikator kompromi langsung sering minim[3]. Fokus deteksi harus diarahkan pada anomali dan perubahan objek yang berkaitan dengan panggilan ke Azure AD Graph. Tanda-tanda yang perlu dicari:

1. Akun Admin baru / penambahan ke Global Admin tanpa approval.
2. Perubahan role/izin signifikan tanpa sign-in interaktif atau challenge MFA tercatat.
3. Panggilan berulang ke Azure AD Graph yang terlihat seperti enumerasi akun/admin.
4. Aktivitas administratif atas nama service/app (appId) dengan konteks waktu/IP yang tidak biasa.

Secara terpusat infrastruktur Microsoft cloud sudah diperbaiki dengan patch terbaru CVE-2025-55241 yang membatasi aplikasi melakukan permintaan actor tokens ke Azure AD Graph API[3]. Namun pengguna tetap harus melakukan beberapa langkah untuk mengurangi risiko:

1. Pastikan tidak ada aplikasi yang masih bergantung pada Azure AD Graph API.
2. Gunakan published KQL query untuk mendeteksi kemungkinan penyalahgunaan actor token.
3. Terapkan prinsip least privilege dan pantau indikasi privilege escalation yang tidak wajar.
4. Migrasi dari Azure AD Graph API ke Microsoft Graph untuk proses logging dan monitoring yang lebih kuat.