近日，微軟的云身份與訪問管理（IAM）核心服務(wù)Entra ID（前身為Azure AD）曝出一個高危漏洞。一個由遺留組件和API缺陷組成的致命組合，理論上允許攻擊者獲取全球任何企業(yè)Entra ID租戶的最高控制權(quán)，而且不會在受害者日志中留下任何痕跡。

該漏洞的核心在于兩種技術(shù)的危險組合：一種是被稱為“行動者令牌”（Actor Token）的未公開令牌；另一種則是已棄用的Azure AD Graph API中存在的令牌驗(yàn)證缺陷（CVE-2025-55241）。

成功利用此漏洞的攻擊者，將能以“全局管理員”（Global Administrator）身份完全控制目標(biāo)租戶，訪問其中所有高度敏感的數(shù)據(jù)和服務(wù)，包括Microsoft 365、Salesforce、Dropbox 等。

漏洞核心：無簽名的“幽靈令牌”

該漏洞由Outsider Security公司的創(chuàng)始人、安全研究員Dirk-jan Mollema發(fā)現(xiàn)。

Entra ID作為數(shù)百萬企業(yè)的數(shù)字身份中樞，負(fù)責(zé)管理用戶對本地及云端應(yīng)用（如 Microsoft 365、Google Cloud、SAP等）的安全訪問。而這次風(fēng)暴的中心，是一種源自微軟遺留服務(wù)——訪問控制服務(wù)（Access Control Service）的“行動者令牌”。

Mollema在研究混合Exchange環(huán)境時發(fā)現(xiàn)了這種特殊令牌。它允許一個服務(wù)（如Exchange Online）在與另一個服務(wù)（如SharePoint）通信時，“扮演”或模擬租戶中的任何其他用戶。

這種令牌的設(shè)計存在根本性的安全缺陷：

無需簽名：服務(wù)可以在不與Entra ID交互的情況下自行偽造這種模擬令牌，這意味著其創(chuàng)建和使用過程完全沒有日志記錄。

無法撤銷：令牌有效期長達(dá)24小時，在此期間無法被吊銷。

繞過安全策略：它可以完全繞過在條件訪問（Conditional Access）中配置的任何安全限制，如MFA要求。

難以追溯：企業(yè)只能依賴資源提供商（如Exchange）的日志來判斷這種令牌是否被使用過。

Mollema直言不諱地指出：“這種行動者令牌的整體設(shè)計根本就不應(yīng)該存在?！?微軟內(nèi)部將這種令牌稱為“高權(quán)限訪問”（HPA），并計劃將其移除。

攻擊鏈復(fù)盤：如何接管一個租戶

研究人員的突破性發(fā)現(xiàn)來自于一次大膽的測試。他將一個從自己租戶生成的“行動者令牌”中的tenant ID修改為另一個目標(biāo)租戶的ID，然后將其發(fā)送給已棄用的 Azure AD Graph API (graph.windows.net)。

他本以為會收到“拒絕訪問”的錯誤，但API的返回信息卻暗示：令牌本身是有效的，只是令牌中聲稱的用戶身份在目標(biāo)租戶中不存在。

于是，Mollema提供了目標(biāo)租戶中一個有效普通用戶的用戶ID（netId），API 竟然成功返回了該用戶的數(shù)據(jù)。這意味著，他跨越了租戶的邊界。

一個完整的攻擊鏈由此形成：

生成令牌：攻擊者在自己控制的租戶中生成一個“行動者令牌”。

信息搜集：通過公開API獲取目標(biāo)企業(yè)的tenant ID，并找到目標(biāo)租戶中任意一個普通用戶的netId。

首次模擬：利用手中的行動者令牌，結(jié)合目標(biāo)租戶的tenant ID和用戶 netId，偽造一個模擬該普通用戶的令牌。

權(quán)限提升：使用這個普通用戶權(quán)限，通過Azure AD Graph API列出目標(biāo)租戶中所有的全局管理員及其netId。

終極模擬：再次偽造令牌，這次模擬的對象是剛剛獲取到的全局管理員。

完全控制：以全局管理員身份，通過API執(zhí)行任何讀/寫操作，如重置密碼、添加新管理員、修改配置等。

Mollema強(qiáng)調(diào)，在整個攻擊鏈中，只有最后一步的惡意操作才會在受害者租戶的日志中留下記錄，而前面的所有權(quán)限提升和偵察活動都是隱形的。

微軟的響應(yīng)與修復(fù)

值得注意的是，作為漏洞關(guān)鍵一環(huán)的Azure AD Graph API服務(wù)已于去年9月進(jìn)入棄用流程。微軟此前已警告稱，該API將在2025年9月初對大多數(shù)應(yīng)用停止服務(wù)。

Mollema于7月14日向微軟報告了這些問題。微軟在9天后（7月23日）確認(rèn)問題已得到解決。隨后在9月4日，微軟正式發(fā)布了針對CVE-2025-55241的補(bǔ)丁，并將其評定為嚴(yán)重（Critical）級別的權(quán)限提升漏洞。

此次事件再次凸顯了現(xiàn)代云環(huán)境中遺留組件可能帶來的巨大安全風(fēng)險，即使是像微軟這樣頂級的云服務(wù)提供商，其龐大而復(fù)雜的系統(tǒng)中也可能潛藏著設(shè)計于不同安全時代、如今卻能被組合利用的“技術(shù)債務(wù)”。

參考鏈接：

https://dirkjanm.io/obtaining-global-admin-in-every-entra-id-tenant-with-actor-tokens/

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/