想象一下,发现一个漏洞,它可以让你在不留下任何攻击痕迹的情况下,攻陷全球任何一个 Entra ID 租户。几个月前,安全研究员 Dirk-jan Mollema 发现了这个漏洞。如果被恶意行为者利用,可能会造成重大破坏。
Mollema 发现,微软存在一种未公开的模拟令牌,称为 Actor 令牌。由于 Azure AD Graph API 中存在验证缺陷,攻击者能够模拟任意租户中的任何用户(包括全局管理员),有效期为 24 小时。
这个漏洞更为隐蔽之处在于:请求 Actor 令牌的行为不会被记录,这些令牌也不受常规安全策略的约束,这使得检测变得非常困难。如果被利用,攻击者将能够访问以下 Entra ID 数据:
- 用户信息
- 组和角色信息
- 租户的条件访问策略
- 任何应用程序的权限分配
- 设备信息
- 同步到 Entra ID 的 BitLocker 密钥
如果模拟了全局管理员,攻击者还可以修改对象,包括 Microsoft 365 中的对象。虽然这些操作会被记录,但日志中显示的是合法全局管理员所做的修改,而非攻击者。
Mollema 于 2025 年 7 月 14 日立即向微软安全响应中心(MSRC)报告了他的发现,MSRC 确认该问题已得到解决。8 月 6 日,MSRC 发布了进一步的缓解措施,防止使用服务主体凭证为 Azure AD Graph 颁发 Actor 令牌。最终,9 月 4 日,微软发布了 CVE-2025-55241,并表示该漏洞无需客户采取任何操作即可修复。目前没有证据表明该漏洞已被在野利用。
尽管 Mollema 和微软都值得称赞——Mollema 负责任地披露漏洞,微软迅速采取行动——但这一事件也凸显了一些值得牢记的更大教训:
关键要点
🔍 网络安全研究者的重要性:在攻击者之前发现漏洞对于防止大规模破坏至关重要。
☁️ 即使是最大的云提供商也存在漏洞:没有任何系统是免疫的,即使像微软 Entra 这样广泛使用的平台也不例外。
🤝 负责任地披露能挽救局面:这是一个案例研究,说明了研究人员和厂商之间的信任对网络安全为何至关重要。
🛡️ 日志和检测并不总是足够的:仅仅因为活动被记录,并不意味着它反映了真实的来源;攻击者仍然可以混入合法的管理员操作中。
🚀 厂商快速响应至关重要:微软的快速缓解和修补表明,一旦报告了关键漏洞,迅速采取行动的重要性。 CSD0tFqvECLokhw9aBeRqpx2pon5wJwzgXWrO+BAwWqHCsI54HbDwoUqzDhrxT0nDrF3M8Vc0CLyo3qtXEOh2bT4D1syEsXR+KktwVUVSDp8EEaUFVm7TUI+3cXxImYcQIHmksNxcuq9pHqLGPqItVmiJKtIWXQb6Jvnf0sClNs=
