数据观澜物联网
快捷导航
您的位置:首页>人工智能>>CVE-2025-55241:CVSS 10.0 分 Microsoft Entra ID 漏洞或危及全球所有租户 >

CVE-2025-55241:CVSS 10.0 分 Microsoft Entra ID 漏洞或危及全球所有租户

  发布时间:2025-12-07 19:21:24   作者:玩站小弟   我要评论
漏洞概述2025年最重大的安全发现之一,研究员Dirk-jan Mollema披露了Microsoft Entra ID原Azure AD)中一个可能让攻击者入侵全球几乎所有租户的漏洞。该漏洞被追踪为 。
漏洞概述

2025年最重大的漏洞安全发现之一 ,研究员Dirk-jan Mollema披露了Microsoft Entra ID(原Azure AD)中一个可能让攻击者入侵全球几乎所有租户的或危户漏洞 。该漏洞被追踪为(CVE-2025-55241) ,及全CVSS评分达10分,有租源于不安全的漏洞"Actor tokens"和传统Azure AD Graph API的验证缺陷  。

漏洞机制

该漏洞包含两个关键要素:

未记录的源码下载或危户模拟令牌:微软用于后端服务间认证的"Actor tokens"缺乏文档记录关键验证缺陷 :Azure AD Graph API未能执行租户边界验证

Mollema表示:"使用我在实验租户中申请的令牌 ,可以模拟任何其他租户中的及全用户身份 ,包括全局管理员。有租"由于Actor tokens会绕过条件访问策略 ,漏洞管理员实际上无法通过配置阻止此类攻击  。或危户

技术细节

Actor tokens是建站模板及全由微软访问控制服务颁发的特殊JSON Web Tokens(JWTs),本用于Exchange Online或SharePoint等服务模拟用户。有租但Mollema指出:"一旦Exchange获得Actor token ,漏洞就能在24小时内使用该令牌模拟目标服务中的或危户任何用户 。"

这些令牌存在严重安全缺失  :

签发和使用时无日志记录24小时有效期内无法撤销完全绕过条件访问控制

Mollema直言 :"这种Actor token设计本就不该存在 ,及全它几乎缺乏所有应有的安全控制。源码库"

攻击路径

漏洞的第二部分是Azure AD Graph未验证租户ID。通过修改模拟令牌中的租户ID,攻击者可查询其他租户数据。Mollema证实 :"只要知道目标租户ID(公开信息)和用户netId ,就能访问其他租户数据 。"

攻击者可逐步升级权限 :

模拟普通用户枚举信息识别全局管理员并伪造其令牌实现完全租户接管,高防服务器获取Microsoft 365和Azure资源访问权

更严重的是,这类攻击几乎不留痕迹。Mollema强调:"这些操作不会在受害租户中生成任何日志。"

潜在影响

用户netId值采用可暴力破解的递增模式 ,攻击者几分钟内即可猜出有效ID 。Mollema还证实  ,香港云服务器攻击者可滥用B2B信任关系 ,通过访客账户在租户间横向移动 :"使用单个Actor token,几分钟内就能收集到危及全球多数租户所需的信息。"

微软安全响应中心(MSRC)收到报告后迅速响应 ,数日内完成修复 ,阻止了向Azure AD Graph请求Actor tokens的行为,并发布(CVE-2025-55241) 。免费模板

  • Tag:

相关文章

  • 为什么针对API的Bot自动化攻击越来越多?

    API是连接现代应用程序的基石,越来越多的企业意识到API的重要性,其数量迎来爆发式增长,但API面临的安全威胁却比API调用增长更加迅猛。Salt Security于今年2月发布的报告显示,2022
    2025-12-07

  • PyPI中出现了针对Windows用户的六个恶意Python包

    今年3月,Unit 42的研究人员在Python Package Index(PyPI)包管理器上发现了6个恶意包。恶意软件包旨在窃取Windows用户的应用程序凭据、个人数据和
    2025-12-07

  • 如何在 SQL Server 中备份和恢复数据库

    在SQL Server中,数据库可以存储在不同的文件和文件组中。如果您的数据库较小100 MB 或更少),则无需过多担心文件和文件组。但如果您有一个大型数据库数 GB 或 TB),将数据分离到不同的文
    2025-12-07

  • 同行遭殃,LockBit却忙着挖墙脚

    最近,LockBit 勒索软件组织的同行似乎遇到了一些麻烦。上周,NoEscape 和 BlackCat勒索软件组织的 Tor 网站突然开始无法访问,与 NoEscape 相关的附属组织声称,组织里有
    2025-12-07

  • 聊聊数据匿名化技术

    前言近年来,随着数据挖掘,机器学习等技术的发展与深入,企业从普通用户处收集到的大量的数据就变得越来越有价值,对这些数据进行分析处理可以更好的了解用户的习惯和喜好,从而向用户提供更加个性化的服务,最终使
    2025-12-07

  • 隐私保护之隐私信息检索

    互联网的普及意味着有大量的在线数据和检索信息不可或缺的资源, 在某种程度上,也对用户隐私构成了重大风险。事实上,在用户意图保密的情况下,用户通常对访问公共数据持谨慎态度。例如,公司可能希望不透露自己身
    2025-12-07

最新评论