漏洞概述

2025年最重大的安全發(fā)現(xiàn)之一，研究員Dirk-jan Mollema披露了Microsoft Entra ID（原Azure AD）中一個(gè)可能讓攻擊者入侵全球幾乎所有租戶的漏洞。該漏洞被追蹤為（CVE-2025-55241），CVSS評(píng)分達(dá)10分，源于不安全的"Actor tokens"和傳統(tǒng)Azure AD Graph API的驗(yàn)證缺陷。

漏洞機(jī)制

該漏洞包含兩個(gè)關(guān)鍵要素：

• 未記錄的模擬令牌：微軟用于后端服務(wù)間認(rèn)證的"Actor tokens"缺乏文檔記錄
• 關(guān)鍵驗(yàn)證缺陷：Azure AD Graph API未能執(zhí)行租戶邊界驗(yàn)證

Mollema表示："使用我在實(shí)驗(yàn)租戶中申請(qǐng)的令牌，可以模擬任何其他租戶中的用戶身份，包括全局管理員。"由于Actor tokens會(huì)繞過條件訪問策略，管理員實(shí)際上無(wú)法通過配置阻止此類攻擊。

技術(shù)細(xì)節(jié)

Actor tokens是由微軟訪問控制服務(wù)頒發(fā)的特殊JSON Web Tokens（JWTs），本用于Exchange Online或SharePoint等服務(wù)模擬用戶。但Mollema指出："一旦Exchange獲得Actor token，就能在24小時(shí)內(nèi)使用該令牌模擬目標(biāo)服務(wù)中的任何用戶。"

這些令牌存在嚴(yán)重安全缺失：

• 簽發(fā)和使用時(shí)無(wú)日志記錄
• 24小時(shí)有效期內(nèi)無(wú)法撤銷
• 完全繞過條件訪問控制

Mollema直言："這種Actor token設(shè)計(jì)本就不該存在，它幾乎缺乏所有應(yīng)有的安全控制。"

攻擊路徑

漏洞的第二部分是Azure AD Graph未驗(yàn)證租戶ID。通過修改模擬令牌中的租戶ID，攻擊者可查詢其他租戶數(shù)據(jù)。Mollema證實(shí)："只要知道目標(biāo)租戶ID（公開信息）和用戶netId，就能訪問其他租戶數(shù)據(jù)。"

攻擊者可逐步升級(jí)權(quán)限：

• 模擬普通用戶枚舉信息
• 識(shí)別全局管理員并偽造其令牌
• 實(shí)現(xiàn)完全租戶接管，獲取Microsoft 365和Azure資源訪問權(quán)

更嚴(yán)重的是，這類攻擊幾乎不留痕跡。Mollema強(qiáng)調(diào)："這些操作不會(huì)在受害租戶中生成任何日志。"

潛在影響

用戶netId值采用可暴力破解的遞增模式，攻擊者幾分鐘內(nèi)即可猜出有效ID。Mollema還證實(shí)，攻擊者可濫用B2B信任關(guān)系，通過訪客賬戶在租戶間橫向移動(dòng)："使用單個(gè)Actor token，幾分鐘內(nèi)就能收集到危及全球多數(shù)租戶所需的信息。"

微軟安全響應(yīng)中心（MSRC）收到報(bào)告后迅速響應(yīng)，數(shù)日內(nèi)完成修復(fù)，阻止了向Azure AD Graph請(qǐng)求Actor tokens的行為，并發(fā)布（CVE-2025-55241）。