微软修复了严重的Entra ID漏洞，该漏洞可导致跨租户冒充全局管理员

微软Entra ID（前身为Azure Active Directory）中一个严重的令牌验证失败问题，可能会让攻击者能够冒充任何用户，包括跨任何租户的全局管理员。

该漏洞编号为CVE-2025-55241，被分配到最高的CVSS评分10.0。微软将其描述为Azure Entra中的一个权限提升漏洞。目前没有迹象表明该问题已在野外被利用。微软已于2025年7月17日修复了该漏洞，无需客户采取任何行动。

安全研究员德克-扬·莫勒马于7月14日发现并报告了这一缺陷，他表示，该缺陷可能会导致全球每个Entra ID租户受到攻击，国家云部署可能除外。

该问题源于两个因素的结合：一是使用了由访问控制服务（ACS）颁发的服务到服务（S2S）参与者令牌，二是旧版Azure AD Graph API（graph.windows.net）存在一个致命缺陷，即没有充分验证源租户，这实际上允许这些令牌被用于跨租户访问。

值得注意的是，这些令牌受微软的条件访问策略约束，这使得能够访问Graph API的恶意攻击者可以进行未授权修改。更糟糕的是，Graph API缺乏API级别的日志记录，这意味着攻击者可以利用它访问存储在Entra ID中的用户信息、组和角色详情、租户设置、应用程序权限，以及同步到Entra ID的设备信息和BitLocker密钥，且不会留下任何痕迹。

模仿全局管理员可能会让攻击者创建新账户、为自己授予额外权限或窃取敏感数据，进而导致整个租户被攻陷，攻击者得以访问任何使用Entra ID进行身份验证的服务，例如SharePoint Online和Exchange Online。

莫勒马指出：“它还将提供对Azure中托管的任何资源的完全访问权限，因为这些资源是从租户级别进行控制的，而且全局管理员可以为自己授予Azure订阅的权限。”

微软将此类跨租户访问实例描述为“高权限访问”（HPA）情况，即“当应用程序或服务获得对客户内容的广泛访问权限，使其能够在不提供任何用户上下文证明的情况下冒充其他用户时发生”。

值得注意的是，截至2025年8月31日，Azure AD Graph API已被正式弃用并停用，这家科技巨头敦促用户将其应用迁移至Microsoft Graph。此次弃用的最初公告发布于2019年。

微软在2025年6月下旬指出：“那些配置了扩展访问权限且仍依赖Azure AD Graph API的应用程序，将从2025年9月初开始无法继续使用这些API。”

云安全公司Mitiga表示，成功利用CVE-2025-55241漏洞可以绕过多因素认证（MFA）、条件访问和日志记录，且不会留下任何事件痕迹。

Mitiga公司的罗伊·谢尔曼表示：“攻击者可以精心构造这些[参与者]令牌，以欺骗Entra ID，使其认为他们是任何人、来自任何地方。”“该漏洞的出现是因为旧版API未能验证令牌的租户来源。”

这意味着攻击者可以从自己的非特权测试环境中获取一个Actor令牌，然后使用该令牌在任何其他公司的租户中冒充全局管理员。攻击者不需要对目标组织有任何预先存在的访问权限。

此前，莫勒马还详细介绍了一个影响Exchange Server本地版本的高危安全漏洞（CVE-2025-53786，CVSS评分：8.0），该漏洞可能允许攻击者在特定条件下获取提升的权限。另一项研究发现，Intune证书配置错误（如可伪造的标识符）可能会被普通用户滥用，以针对Active Directory环境实施ESC1攻击。

这一进展发生在几周前，当时Binary Security的哈康·霍尔姆·古尔布兰兹鲁德披露，用于支持软件即服务（SaaS）连接器的共享API管理器（APIM）实例可直接从Azure资源管理器调用，以实现跨租户访问。

古尔布兰兹鲁德说：“API连接允许任何人完全危害全球范围内的任何其他连接，从而获得对所连接后端的完全访问权限。这包括对密钥保管库和Azure SQL数据库的跨租户危害，以及任何其他外部连接的服务，如Jira或Salesforce。”

这也是继最近几周发现多个与云相关的漏洞和攻击方法之后——

• 一种Entra ID OAuth配置错误允许个人微软账户未经授权访问微软的Engineering Hub Rescue，导致22项内部服务及相关数据暴露。
• 一种利用Microsoft OneDrive for Business的已知文件夹移动（KFM）功能的攻击，它允许攻陷了启用OneDrive同步的Microsoft 365用户的恶意攻击者访问其同步到SharePoint Online的应用程序和文件。
• Azure AD应用程序凭据在可公开访问的应用程序设置（appsettings.json）文件中发生的泄露，可能会被利用来直接向微软的OAuth 2.0端点进行身份验证，并窃取敏感数据、部署恶意应用程序或提升权限。
• 一次钓鱼攻击包含一个指向在Microsoft Azure中注册的恶意OAuth应用程序的链接，该链接诱骗用户授予其权限，以从受感染邮箱内的沙箱环境中提取亚马逊云服务（AWS）的访问密钥，使得未知攻击者能够枚举AWS权限，并利用沙箱与生产环境之间的信任关系提升权限，从而完全控制该组织的AWS基础设施并窃取敏感数据。
• 一种通过利用Web应用程序中的服务器端请求伪造（SSRF）漏洞，向AWS EC2元数据服务发送请求，目的是访问实例元数据服务（IMDS），通过获取分配给实例IAM角色的临时安全凭证来危害云资源的攻击。
• AWS的Trusted Advisor工具中存在一个现已修复的问题，该问题可能被利用，通过调整某些存储桶策略绕过S3安全检查，导致该工具错误地将公开暴露的S3存储桶报告为安全的，从而使敏感数据面临数据泄露和数据窃取的风险。
• 一种名为AWSDoor的技术代码，它会修改与AWS角色和信任策略相关的IAM配置，以在AWS环境中建立持久化机制。

研究结果表明，即便是云环境中极为常见的配置错误，也可能给相关组织带来灾难性后果，导致数据被盗以及其他后续攻击。

RiskInsight的研究人员约安·德奎克和阿诺·佩蒂科尔在上周发布的一份报告中表示：“诸如访问密钥注入、信任策略后门植入以及NotAction策略的使用等技术，能让攻击者在不部署恶意软件或触发警报的情况下长期潜伏。”

“除了IAM之外，攻击者还可以利用AWS资源本身——例如Lambda函数和EC2实例——来维持访问。禁用CloudTrail、修改事件选择器、部署用于S3静默删除的生命周期策略，或者将账户从AWS Organizations中分离，这些都是减少监管并促成长期入侵或破坏的手段。”