游乐游手机版
首页/科技数码/文章详情

微软修复CVSS 10.0高危漏洞:Entra ID权限提升风险告警

时间:2025-10-30 17:59
该漏洞最初被评估为低危权限提升漏洞,但后续安全研究表明其实际危害远超预期——攻击者可借此仿冒包括全局管理员在内的任何用户身份。 微软近期修复了Azure Entra ID(原Azure Active

这一漏洞最初被评估为低危权限提升漏洞,但随着后续深入研究表明其实际危害远超预期——攻击者能够借此冒充包括全局管理员在内的任意用户身份。

微软近期修复了Azure Entra ID(原Azure Active Directory)中的一个高风险安全漏洞(CVE-2025-55241)。该漏洞最初被评估为低危权限提升漏洞,但后续安全研究发现其实际危害远超最初预估——攻击者可通过该漏洞伪造包括全局管理员在内的任何用户凭证。

漏洞发现过程

网络安全研究员Dirk-Jan Mollema在为今年黑帽大会和DEF CON会议准备演讲材料时,首次发现了这一安全问题。研究表明,未经公开文档说明的"执行者令牌"(Actor tokens)结合传统Azure AD Graph API的验证缺陷,可被滥用于仿冒任意Entra ID租户中的用户身份,甚至包括全局管理员。

这意味着在一个实验租户中生成的令牌,竟能获取对其他租户的管理控制权。若仅进行数据读取,系统不会触发任何告警或日志记录;即便执行修改操作,痕迹记录也极为有限。

技术原理分析

根据Mollema的解释,执行者令牌的设计特性加剧了问题的严重性。这类令牌专为后端服务间通信设计,能够绕过条件访问等常规安全防护措施。一旦获取,攻击者可在24小时内持续仿冒其他身份,且无法中途撤销。

微软最新应用可生成具有仿冒权限的令牌,但第三方应用则无此权限。由于Azure AD Graph API缺少完善的日志记录功能,管理员难以察觉攻击者何时访问了用户数据、群组、角色、租户设置、服务主体、BitLocker密钥及策略等敏感信息。

跨租户攻击演示

Mollema在其技术博客中证实,由于Azure AD Graph API未能验证令牌的源租户,仿冒攻击可实现跨租户传播。通过修改租户ID并锁定已知用户标识符(netId),攻击者可从自有租户渗透至任意其他租户。

获取全局管理员的合法netId后,攻击者将完全接管Microsoft 365、Azure订阅及关联服务。更严重的是,netId可通过暴力破解快速获取,某些情况下还能从跨租户协作的访客账户属性中提取。

演示视频展示了执行者令牌在单租户内的使用方式,而相同方法通过该漏洞即可实现跨租户攻击。

修复与行业反思

微软在收到报告后三天内(7月17日)即推出全球修复方案,后续还追加了阻止应用通过Azure AD Graph请求执行者令牌的缓解措施。该公司表示内部遥测未发现漏洞利用证据,该漏洞于9月4日正式获得CVE-2025-55241编号。

然而安全专家指出,该事件暴露出对云身份系统信任机制的深层担忧。Radiant Logic产品总监Anders Askasan强调:"此事表明未文档化的身份特性可能悄然绕过零信任架构。执行者令牌创建了一个没有策略、没有日志、没有可视性的影子后门,动摇了云信任基础。教训很明确:厂商事后修补远远不够。"

他建议:"为降低系统性风险,企业需要建立覆盖整个身份结构的独立可观测性,持续关联账户、权限和策略。组织必须获得与厂商无关的可信身份数据视图,以便实时验证并在敌对入侵升级为不可逆的数据泄露前采取行动。"

来源:https://www.51cto.com/article/826065.html
上一篇数据战略框架、实践与案例:企业高效决策全指南 下一篇山东博导张洪章:85后科研尖兵的太空实验新征程
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
OpenClaw手机App上线,结果翻车了
科技数码 · 2026-07-01

OpenClaw手机App上线,结果翻车了

OpenClaw 官方宣布,已正式推出 iOS 和 Android 原生移动 App,用户如今可以在手机上使用这款主打“能真正帮你做事”的个人 AI 助手。官方在 X 上给出的定位也很直接:把 Agent 放进口袋里,让用户可以在移动端处理频道消息、任务和回复。从功能上看,OpenClaw 移动端并

优必选CEO周剑:家庭机器人生态核心投入过半精力
科技数码 · 2026-07-01

优必选CEO周剑:家庭机器人生态核心投入过半精力

先说几个核心判断:优必选正在布局一盘长远战略。创始人兼CEO周剑在近期一场媒体沟通会上,直接亮出了公司未来的发展路线——工业、商用、家庭陪伴机器人三条业务主赛道并行推进,现阶段每条线各占约一半精力。一边是已经能够稳定创造收入的工业场景,另一边则是他眼中“最具想象力与未来空间”的家庭陪伴领域。工业人形

CPO/NPO/OIO开启封装级光连接价值空间,技术路线尚未收敛
科技数码 · 2026-07-01

CPO/NPO/OIO开启封装级光连接价值空间,技术路线尚未收敛

6月30日,申银万国在光连接系列研报中重点指出,MPO光连接器领域的投资机会值得高度关注。通俗来说,随着AI算力集群持续扩张,光互联升级带来的连锁效应——数据中心光纤通道数量、前面板端口密度、机柜内光纤管理复杂度——均在同步攀升。光连接器的角色早已超越传统的低价值标准件,如今它直接决定着链路插损、可

龙岗AR实景剧本游内测体验短板有效破解之道
科技数码 · 2026-07-01

龙岗AR实景剧本游内测体验短板有效破解之道

在今年龙岗区第二届人工智能与机器人发展大会上,区级部门一次性推出了7个AI“龙搭子”。其中,名为“龙导游”的成果成为文商旅融合领域的核心亮点。据南都N视频记者了解,依托“龙导游”打造的全区全域AR实景剧本游“龙岗大陆”,已在今年五一假期发布了内测版本。经过一个月市场验证后,该项目正式启动面向全社会的

南下资金6月30日净买入中芯国际与建滔积层板
科技数码 · 2026-07-01

南下资金6月30日净买入中芯国际与建滔积层板

6月30日,南下资金持续大举买入港股,单日净流入金额高达58 95亿港元。接下来,我们直接盘点哪些个股获得资金青睐、哪些遭到减持: 净买入方面,中芯国际领跑全场,单日吸金19 33亿港元;建滔积层板紧随其后,净买入10 59亿港元;腾讯控股获得7 65亿港元净流入;智谱(02513 HK)也有6 5