摘要：微软 Entra ID（前身为 Azure Active Directory）存在一个关键的令牌验证漏洞（CVE-2025-55241），允许攻击者在多个租户中冒充任何用户，包括全球管理员。该漏洞获得最高 CVSS 分数 10.0，尽管目前没有证据表明其已被利

微软 Entra ID（前身为 Azure Active Directory）存在一个关键的令牌验证漏洞（CVE-2025-55241），允许攻击者在多个租户中冒充任何用户，包括全球管理员。该漏洞获得最高 CVSS 分数 10.0，尽管目前没有证据表明其已被利用。漏洞的根源在于访问控制服务和遗留的 Azure AD Graph API 的结合，未能有效验证来源租户，导致跨租户访问风险。攻击者可利用此漏洞进行未授权更改，创建新账户或窃取数据，完全妥协租户安全。此外，Azure AD Graph API 将于2025年8月31日弃用，用户应迁移至 Microsoft Graph。云安全公司 Mitiga 指出，利用此漏洞可能绕过多因素身份验证和其他安全措施，增加了数据泄露风险。

微软 Entra ID（前身为 Azure Active Directory）中存在一个重大的令牌验证失败，这可能允许攻击者在各个租户中冒充任何用户，包括全球管理员。该漏洞被标识为 CVE-2025-55241，获得了最高可能的 CVSS 分数 10.0。微软将其标记为 Azure Entra 中的权限提升缺陷，尽管没有迹象表明它在现实世界中被利用。微软于 2025 年 7 月 17 日解决了此问题，客户无需采取任何行动。

该漏洞的发现者是安全研究员 Dirk-jan Mollema，他在 2025 年 7 月 14 日发现了这一问题。根据 Mollema 的说法，这一缺陷可能会危及全球每个 Entra ID 租户，国家云部署除外。问题的根源在于两个组件的结合：由访问控制服务（ACS）发出的服务对服务（S2S）演员令牌的使用，以及遗留的 Azure AD Graph API（graph.windows.net）中存在的重大缺陷，该缺陷未能充分验证来源租户。这使得可以使用这些令牌进行跨租户访问。

这个漏洞特别令人担忧的地方在于，这些令牌受到微软的条件访问政策的约束。这意味着，恶意行为者如果能够访问 Graph API，可能会进行未授权的更改。更糟糕的是，Graph API 缺乏 API 级别的日志记录，使得利用这一漏洞时不会留下任何证据。冒充全球管理员的攻击者可以创建新账户、提升权限或窃取敏感数据，导致整个租户的完全妥协，包括访问使用 Entra ID 进行身份验证的任何服务，如 SharePoint Online 和 Exchange Online。

Mollema 强调，这种冒充将使攻击者获得对 Azure 中任何资源的完全访问权限，因为这些资源在租户级别管理，允许全球管理员在 Azure 订阅中为自己分配权限。微软将跨租户访问的实例称为“高权限访问”（HPA），当应用程序或服务获得对客户数据的广泛访问权限时，便可以在没有用户身份证明的情况下冒充其他用户。

需要注意的是，Azure AD Graph API 已于 2025 年 8 月 31 日正式弃用并退役，微软鼓励用户将其应用程序迁移到 Microsoft Graph。关于这一弃用的初步公告是在 2019 年发布的。微软表示，仍依赖 Azure AD Graph API 的配置了扩展访问的应用程序，在 2025 年 9 月初将无法继续使用这些 API。

云安全公司 Mitiga 报告称，成功利用 CVE-2025-55241 可能会绕过多因素身份验证（MFA）、条件访问和日志记录，留下事件的任何证据。Mitiga 的 Roei Sherman 指出，攻击者可能会操控这些演员令牌，以误导 Entra ID 认为他们是授权用户。随着进一步的影响，最近的研究揭示了其他漏洞，包括影响本地版本 Exchange Server 的高严重性缺陷，以及各种云相关问题，这些问题展示了由于配置错误和安全措施不足而导致严重数据泄露的潜力。

来源：老孙科技前沿