微軟近期修復(fù)了Azure Entra ID（原Azure Active Directory）中的一個(gè)高危安全漏洞（CVE-2025-55241）。該漏洞最初被評(píng)估為低危權(quán)限提升漏洞，但后續(xù)安全研究表明其實(shí)際危害遠(yuǎn)超預(yù)期——攻擊者可借此仿冒包括全局管理員在內(nèi)的任何用戶身份。

漏洞發(fā)現(xiàn)過程

網(wǎng)絡(luò)安全研究員Dirk-Jan Mollema在為今年黑帽大會(huì)和DEF CON會(huì)議準(zhǔn)備演講材料時(shí)，首次發(fā)現(xiàn)了這一漏洞。其研究表明，未公開文檔的"Actor tokens"（執(zhí)行者令牌）結(jié)合傳統(tǒng)Azure AD Graph API的驗(yàn)證缺陷，可被濫用于仿冒任意Entra ID租戶中的用戶身份，甚至包括全局管理員。

這意味著在一個(gè)實(shí)驗(yàn)租戶中生成的令牌，能夠獲得對(duì)其他租戶的管理控制權(quán)。若僅讀取數(shù)據(jù)，系統(tǒng)不會(huì)產(chǎn)生任何告警或日志；即使執(zhí)行修改操作，痕跡記錄也極為有限。

技術(shù)原理分析

根據(jù)Mollema的解釋，Actor tokens的設(shè)計(jì)特性加劇了問題嚴(yán)重性。這類令牌專為后端服務(wù)間通信設(shè)計(jì)，能夠繞過條件訪問等常規(guī)安全防護(hù)措施。一旦獲取，攻擊者可在24小時(shí)內(nèi)持續(xù)仿冒其他身份，且無法中途撤銷。

微軟官方應(yīng)用可生成具有仿冒權(quán)限的令牌，但第三方應(yīng)用則無此權(quán)限。由于Azure AD Graph API缺乏日志記錄功能，管理員無法察覺攻擊者何時(shí)訪問了用戶數(shù)據(jù)、群組、角色、租戶設(shè)置、服務(wù)主體、BitLocker密鑰及策略等敏感信息。

跨租戶攻擊演示

Mollema在其技術(shù)博客中證實(shí)，由于Azure AD Graph API未能驗(yàn)證令牌的源租戶，仿冒攻擊可實(shí)現(xiàn)跨租戶傳播。通過修改租戶ID并鎖定已知用戶標(biāo)識(shí)符（netId），攻擊者可從自有租戶滲透至任意其他租戶。

獲取全局管理員的合法netId后，攻擊者將完全接管Microsoft 365、Azure訂閱及關(guān)聯(lián)服務(wù)。更嚴(yán)重的是，netId可通過暴力破解快速獲取，某些情況下還能從跨租戶協(xié)作的訪客賬戶屬性中提取。

演示視頻展示了Actor tokens在單租戶內(nèi)的使用方式，但相同方法通過該漏洞可實(shí)現(xiàn)跨租戶攻擊。

修復(fù)與行業(yè)反思

微軟在收到報(bào)告后三天內(nèi)（7月17日）即推出全球修復(fù)方案，后續(xù)還追加了阻止應(yīng)用通過Azure AD Graph請(qǐng)求Actor tokens的緩解措施。該公司表示內(nèi)部遙測(cè)未發(fā)現(xiàn)漏洞利用證據(jù)，該漏洞于9月4日正式獲得CVE-2025-55241編號(hào)。

然而安全專家指出，該事件暴露出對(duì)云身份系統(tǒng)信任機(jī)制的深層擔(dān)憂。Radiant Logic產(chǎn)品總監(jiān)Anders Askasan強(qiáng)調(diào)："此事件表明未文檔化的身份特性可能悄然繞過零信任架構(gòu)。Actor tokens創(chuàng)建了一個(gè)沒有策略、沒有日志、沒有可視性的影子后門，動(dòng)搖了云信任基礎(chǔ)。教訓(xùn)很明確：廠商事后修補(bǔ)遠(yuǎn)遠(yuǎn)不夠。"

他建議："為降低系統(tǒng)性風(fēng)險(xiǎn)，企業(yè)需要建立覆蓋整個(gè)身份結(jié)構(gòu)的獨(dú)立可觀測(cè)性，持續(xù)關(guān)聯(lián)賬戶、權(quán)限和策略。組織必須獲得與廠商無關(guān)的可信身份數(shù)據(jù)視圖，以便實(shí)時(shí)驗(yàn)證并在敵對(duì)入侵升級(jí)為不可逆的數(shù)據(jù)泄露前采取行動(dòng)。"