聲明：該文章來(lái)自（GoUpSec）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁(yè)加速服務(wù)。

近日，微軟的云身份與訪問(wèn)管理（IAM）核心服務(wù)Entra ID（前身為Azure AD）曝出一個(gè)高危漏洞。一個(gè)由遺留組件和API缺陷組成的致命組合，理論上允許攻擊者獲取全球任何企業(yè)Entra ID租戶的最高控制權(quán)，而且不會(huì)在受害者日志中留下任何痕跡。

該漏洞的核心在于兩種技術(shù)的危險(xiǎn)組合：一種是被稱為“行動(dòng)者令牌”（Actor Token）的未公開(kāi)令牌；另一種則是已棄用的Azure AD Graph API中存在的令牌驗(yàn)證缺陷（CVE-2025-55241）。

成功利用此漏洞的攻擊者，將能以“全局管理員”（Global Administrator）身份完全控制目標(biāo)租戶，訪問(wèn)其中所有高度敏感的數(shù)據(jù)和服務(wù)，包括Microsoft 365、Salesforce、Dropbox 等。

漏洞核心：無(wú)簽名的“幽靈令牌”

該漏洞由Outsider Security公司的創(chuàng)始人、安全研究員Dirk-jan Mollema發(fā)現(xiàn)。

Entra ID作為數(shù)百萬(wàn)企業(yè)的數(shù)字身份中樞，負(fù)責(zé)管理用戶對(duì)本地及云端應(yīng)用（如 Microsoft 365、Google Cloud、SAP等）的安全訪問(wèn)。而這次風(fēng)暴的中心，是一種源自微軟遺留服務(wù)——訪問(wèn)控制服務(wù)（Access Control Service）的“行動(dòng)者令牌”。

Mollema在研究混合Exchange環(huán)境時(shí)發(fā)現(xiàn)了這種特殊令牌。它允許一個(gè)服務(wù)（如Exchange Online）在與另一個(gè)服務(wù)（如SharePoint）通信時(shí)，“扮演”或模擬租戶中的任何其他用戶。

這種令牌的設(shè)計(jì)存在根本性的安全缺陷：

無(wú)需簽名：服務(wù)可以在不與Entra ID交互的情況下自行偽造這種模擬令牌，這意味著其創(chuàng)建和使用過(guò)程完全沒(méi)有日志記錄。

無(wú)法撤銷(xiāo)：令牌有效期長(zhǎng)達(dá)24小時(shí)，在此期間無(wú)法被吊銷(xiāo)。

繞過(guò)安全策略：它可以完全繞過(guò)在條件訪問(wèn)（Conditional Access）中配置的任何安全限制，如MFA要求。

難以追溯：企業(yè)只能依賴資源提供商（如Exchange）的日志來(lái)判斷這種令牌是否被使用過(guò)。

Mollema直言不諱地指出：“這種行動(dòng)者令牌的整體設(shè)計(jì)根本就不應(yīng)該存在?！?微軟內(nèi)部將這種令牌稱為“高權(quán)限訪問(wèn)”（HPA），并計(jì)劃將其移除。

攻擊鏈復(fù)盤(pán)：如何接管一個(gè)租戶

研究人員的突破性發(fā)現(xiàn)來(lái)自于一次大膽的測(cè)試。他將一個(gè)從自己租戶生成的“行動(dòng)者令牌”中的tenant ID修改為另一個(gè)目標(biāo)租戶的ID，然后將其發(fā)送給已棄用的 Azure AD Graph API (graph.windows.net)。

他本以為會(huì)收到“拒絕訪問(wèn)”的錯(cuò)誤，但API的返回信息卻暗示：令牌本身是有效的，只是令牌中聲稱的用戶身份在目標(biāo)租戶中不存在。

于是，Mollema提供了目標(biāo)租戶中一個(gè)有效普通用戶的用戶ID（netId），API 竟然成功返回了該用戶的數(shù)據(jù)。這意味著，他跨越了租戶的邊界。

一個(gè)完整的攻擊鏈由此形成：

生成令牌：攻擊者在自己控制的租戶中生成一個(gè)“行動(dòng)者令牌”。

信息搜集：通過(guò)公開(kāi)API獲取目標(biāo)企業(yè)的tenant ID，并找到目標(biāo)租戶中任意一個(gè)普通用戶的netId。

首次模擬：利用手中的行動(dòng)者令牌，結(jié)合目標(biāo)租戶的tenant ID和用戶 netId，偽造一個(gè)模擬該普通用戶的令牌。

權(quán)限提升：使用這個(gè)普通用戶權(quán)限，通過(guò)Azure AD Graph API列出目標(biāo)租戶中所有的全局管理員及其netId。

終極模擬：再次偽造令牌，這次模擬的對(duì)象是剛剛獲取到的全局管理員。

完全控制：以全局管理員身份，通過(guò)API執(zhí)行任何讀/寫(xiě)操作，如重置密碼、添加新管理員、修改配置等。

Mollema強(qiáng)調(diào)，在整個(gè)攻擊鏈中，只有最后一步的惡意操作才會(huì)在受害者租戶的日志中留下記錄，而前面的所有權(quán)限提升和偵察活動(dòng)都是隱形的。

微軟的響應(yīng)與修復(fù)

值得注意的是，作為漏洞關(guān)鍵一環(huán)的Azure AD Graph API服務(wù)已于去年9月進(jìn)入棄用流程。微軟此前已警告稱，該API將在2025年9月初對(duì)大多數(shù)應(yīng)用停止服務(wù)。

Mollema于7月14日向微軟報(bào)告了這些問(wèn)題。微軟在9天后（7月23日）確認(rèn)問(wèn)題已得到解決。隨后在9月4日，微軟正式發(fā)布了針對(duì)CVE-2025-55241的補(bǔ)丁，并將其評(píng)定為嚴(yán)重（Critical）級(jí)別的權(quán)限提升漏洞。

此次事件再次凸顯了現(xiàn)代云環(huán)境中遺留組件可能帶來(lái)的巨大安全風(fēng)險(xiǎn)，即使是像微軟這樣頂級(jí)的云服務(wù)提供商，其龐大而復(fù)雜的系統(tǒng)中也可能潛藏著設(shè)計(jì)于不同安全時(shí)代、如今卻能被組合利用的“技術(shù)債務(wù)”。

參考鏈接：

https://dirkjanm.io/obtaining-global-admin-in-every-entra-id-tenant-with-actor-tokens/

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/