Microsofts Identitäts- und Zugriffsverwaltungsdienst Entra ID war kaputt. Angreifer hätten mit vergleichsweise wenig Aufwand an einer „kritischen“ Sicherheitslücke ansetzen können. Davon waren global alle Entra-ID-Tenants betroffen. Microsoft hat die Schwachstelle im Juli dieses Jahres geschlossen. Nun führt ein Sicherheitsforscher Hintergründe zur Lücke aus.

Durch das erfolgreiche Ausnutzen der Schwachstelle war ein Admin-Zugriff auf beliebige Tenants möglich. Weil weltweit unter anderem große Unternehmen Entra ID nutzen, hätten Attacken weitreichende Folgen haben können.

Hintergründe

In einem ausführlichen Beitrag erläutert ein Sicherheitsforscher von Outsidersecurity das Sicherheitsproblem. Er gibt an, die „kritische“ Schwachstelle (CVE-2025-55241) mit Höchstwertung (CVSS Score 10 von 10) im Juli dieses Jahres entdeckt und umgehend an Microsoft gemeldet zu haben. Er schreibt, dass Microsoft die Schwachstelle innerhalb weniger Tage geschlossen hat. Dafür mussten Entra-ID-Tenants nichts tun. Offensichtlich wurde das Problem serverseitig gelöst.

Um die Lücke auszunutzen, mussten Angreifer aber die Tenant-ID und die NetID eines Nutzers kennen. Doch beides lässt sich dem Forscher zufolge mit vergleichsweise wenig Aufwand herausfinden. Dass das keine so große Hürde sein kann, unterstützt auch die kritische Einstufung der Schwachstelle.

Kombinierter Angriff

Dem Sicherheitsforscher zufolge fußt eine Attacke auf zwei Grundlagen: Der erste Ansatzpunkt ist ein undokumentierter Token zur Identitätsfeststellung mit der Bezeichnung „Actor Token“. Diesen nutzt Microsoft in seinem Backend für Service-to-Service-Kommunikation.

Die zweite Komponente ist die eigentliche Schwachstelle in der Azure AD Graph API (Legacy), die solche Tokens nicht ausreichend überprüft. Demzufolge hätten sich Angreifer damit ausgerüstet als Admin für beliebige Tenants ausgeben können. Der Sicherheitsforscher führt aus, dass diese Tokens aufgrund ihrer Beschaffenheit an allen Sicherheitsrichtlinien vorbeischlüpfen, sodass es keine Gegenmaßnahme gab.

Nach erfolgreichen Attacken hätten Angreifer vollen Zugriff auf Entra-ID-Tenants gehabt. So hätten sie unter anderem persönliche Informationen und BitLocker-Schlüssel einsehen und die volle Kontrolle über Services wie SharePoint Online erlangen können. Erschwerend kommt hinzu, dass ein Angreifer mit einem Actor Token keine Spuren in Logs hinterlässt.

Microsoft gibt an, dass ihnen keine derartigen Attacken bekannt sind. Der Sicherheitsforscher führt in seinem Bericht weitere technische Hintergründe aus. In einer Warnmeldung listet Microsoft weitere Details auf.

(des)

Der chinesische Hersteller DJI hat am gestrigen Donnerstag den Verkauf seines neuen Quadrokopters Mini 5 Pro begonnen. Die Drohnen der Reihe zeichnen sich gewöhnlich dadurch aus, dass sie ein maximales Startgewicht unter 250 Gramm aufweisen und damit als Drohnen der Kategorie C0 nach der EU-Drohnenverordnung ohne Führerschein geflogen werden dürfen.

Vor der offiziellen Vorstellung hatte DJI allerdings an die Presse eine Mitteilung verschickt, in der das Abfluggewicht des neuen Modells mit 254 Gramm angegeben wurde. Damit würde die Drohne die Grenze von 250 Gramm deutlich überschreiten und folglich einen EU-Kompetenznachweis A1/A3 (oft als „kleiner Drohnenführerschein“ bezeichnet) erfordern. Dennoch gab DJI an, dass sich die Mini 5 Pro in der C0-Kategorie ohne Kompetenznachweis fliegen ließe. Auf diesen Widerspruch angesprochen, erklärte der Hersteller gegenüber c’t, dass es sich bei der Gewichtsangabe um ein Versehen gehandelt habe. Auch auf der Website ist nachzulesen, dass die Mini 5 Pro ein Startgewicht von 249 g hat.

Nach dem Verkaufsstart kamen jedoch mehrere Kunden auf die Idee, die Drohne zu wiegen – und gelangten dabei zu dem Ergebnis, dass die besagten 250 Gramm überschritten werden. c’t hat dies zum Anlass genommen, erneut bei DJI hinsichtlich der Gewichtsangabe nachzufragen.

Drohnengewicht kann variieren

DJI gab darauffolgende Stellungnahme ab (Übersetzung von c’t): „Der DJI Mini 5 Pro hat ein Konstruktionsgewicht von 249,9 Gramm und wurde von der Europäischen Agentur für Flugsicherheit (EASA) mit der Zertifizierung C0 ausgezeichnet. Aufgrund von Fertigungstoleranzen kann das tatsächliche Gewicht des Produkts geringfügig um ±4 Gramm variieren. Geringfügige Gewichtsschwankungen sind normal. Für den Betrieb außerhalb Europas wird den Benutzern empfohlen, alle geltenden lokalen Vorschriften zu konsultieren und zu befolgen.“

Diese Aussage soll man wohl so verstehen, dass Nutzer der Mini 5 Pro laut DJI im Geltungsbereich der EU-Drohnenverordnung auf der sicheren Seite sind, wenn sie ohne Kompetenznachweis fliegen. Außerhalb Europas könnte sich ein höheres Gewicht durch die Fertigungstoleranzen hingegen so auswirken, dass die Drohne eventuell nur mit einem Führerschein oder mit anderen Einschränkungen geflogen werden darf.

Dass DJI die Verantwortung hier komplett auf die Käufer überträgt, ist schon sehr problematisch. Hinzu kommt, dass das offizielle Startgewicht der Drohne mit 249,9 g so nah an der C0-Obergrenze liegt, dass schon das Anbringen einer Plakette am Gerät rechtlich problematisch sein kann. DJI selbst bietet für die Mini 5 Pro ND-Filter an, deren Verwendung das Gewicht der Drohne über die zulässige Grenze wuchten.

(mho)

Die japanische Weltraumagentur JAXA hat die Mission der Venussonde Akatsuki (あかつき) beendet, damit hat die Menschheit jetzt auch offiziell keine aktive Sonde mehr am zweiten Planeten des Sonnensystems. Faktisch war das aber schon länger der Fall, der Kontakt zu der Raumsonde war bereits im Frühjahr 2024 abgebrochen. Seitdem hat die JAXA aber mit verschiedenen Maßnahmen versucht, wieder eine Verbindung zu Akatsuki herzustellen, leider erfolglos. Weil sie ihre geplante Missionszeit aber längst deutlich überschritten hatte und sowieso fast am Ende ihrer Betriebszeit angekommen war, habe man jetzt entschieden, die Arbeit daran offiziell einzustellen. Das ist am gestrigen Donnerstag geschehen.

Die ignorierte Venus

Akatsuki (japanisch für „Morgendämmerung“) heißt eigentlich „Venus Climate Orbiter“ und wurde 2010 gestartet. Im Dezember 2015 ist sie in eine Umlaufbahn um unseren Morgenstern eingetreten, nachdem ein erster Versuch fünf Jahre früher gescheitert war. Ihre Hauptmission hat sie 2018 abgeschlossen, danach führt sie aber weitere Beobachtungen durch. Nach dem Ende der ESA-Mission Venus Express hat der japanische Orbiter damit als einziges Raumfahrzeug die Stellung an unserem Nachbarplaneten gehalten, während es am Mars zuletzt immer voller geworden ist. Die Sonde hat unter anderem eine gigantische, bogenförmige Struktur in der dichten Atmosphäre der Venus entdeckt und analysiert. Den gelieferten Daten zufolge dürfte es sich um eine sogenannte Schwerewelle handeln.

Während es am Mars zuletzt immer voller geworden ist, ist mit Akatsuki nun auch der letzte irdische Besucher an der Venus verstummt. Inzwischen werden aber wieder mehrere Venus-Missionen vorbereitet. Zu den ambitioniertesten gehört die NASA-Sonde Davinci (Deep Atmosphere Venus Investigation of Noble gases, Chemistry and Imaging). Die soll aber erst Ende des Jahrzehnts starten. 2031 soll dann die Sonde Veritas (Venus Emissivity, Radio Science, InSAR, Topography, and Spectroscopy) folgen. Mit dem Vernus Life Finder ist auch eine private Mission zur Venus geplant, die soll nach mehreren Verspätungen jetzt im kommenden Jahr gestartet werden.

(mho)