FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

安全研究人员近日披露微软Entra ID（原Azure Active Directory）存在一个高危漏洞（CVE-2025-55241），攻击者可借此伪装成任意租户中的任何用户（包括全局管理员），且不会触发多因素认证(MFA)、条件访问策略或留下常规登录审计记录。

漏洞原理：失效的租户验证机制

该漏洞由红队专家Dirk-jan Mollema率先发现，其利用微软内部委托机制"Actor tokens"，通过操纵未验证来源租户的遗留API实现攻击。Mitiga研究团队进一步分析表明，攻击者可在良性环境中请求Actor token，随后用它伪装成其他组织的特权用户。

"漏洞根源在于遗留API未验证Actor token的租户来源，"Mitiga研究人员在博客中指出，"攻击者一旦伪装成全局管理员，就能创建新账户、授予权限或窃取敏感数据。"

微软在7月收到报告后，数日内即开发补丁并完成全球部署。该漏洞最初被评定为最高风险等级10.0分，微软在9月4日更新公告将其调整为8.7分。

攻击链条：一令通行的致命缺陷

漏洞核心在于Actor token机制与API配置失误的组合。Actor token本是微软基础设施内部的服务委托工具，但Mollema发现Azure AD Graph API未检查token的所属租户。这意味着攻击者可在测试或低权限租户中构造token，用于冒充其他无关租户的管理员。

Mitiga指出，通过目标用户的租户ID和netID值（可通过访客账户、日志泄露甚至暴力破解获取），攻击者能构造出可绕过源验证的Actor token。Mollema上周在博客中警告："这将导致整个租户沦陷，攻击者可访问所有使用Entra ID认证的服务（如SharePoint Online和Exchange Online），还能获取Azure托管资源的完全控制权。"

更危险的是，请求Actor token的操作不会生成任何日志记录，使得条件访问策略和多因素认证完全失效。

补丁之后：遗留系统的隐形风险

尽管微软在接到报告后数日内即完成全球修复，并声称内部遥测未发现利用迹象，但安全专家认为这暴露了云身份系统中更深层的信任危机。补丁措施包括禁止通过Azure AD Graph API请求Actor token，并封堵其他潜在冒充途径。

微软同时发布博客承诺清理环境中的不安全遗留实践，但Mollema批评其未披露仍在使用这些token的服务数量。Mitiga团队强调："微软虽已修复漏洞，但历史能见度的缺失意味着防御者仍无法确认是否曾遭利用。这种不确定性正是关键所在——攻击者始终在寻找隐形通道，防御者需要贯穿攻击前、中、后的全周期可见性。"

参考来源：

Entra ID vulnerability exposes gaps in cloud identity trust models, experts warn

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）