微軟近期修復了Azure Entra ID（原Azure Active Directory）中的一個高危安全漏洞（CVE-2025-55241）。該漏洞最初被評估為低危權限提升漏洞，但后續安全研究表明其實際危害遠超預期——攻擊者可借此仿冒包括全局管理員在內的任何用戶身份。

漏洞發現過程

網絡安全研究員Dirk-Jan Mollema在為今年黑帽大會和DEF CON會議準備演講材料時，首次發現了這一漏洞。其研究表明，未公開文檔的"Actor tokens"（執行者令牌）結合傳統Azure AD Graph API的驗證缺陷，可被濫用于仿冒任意Entra ID租戶中的用戶身份，甚至包括全局管理員。

這意味著在一個實驗租戶中生成的令牌，能夠獲得對其他租戶的管理控制權。若僅讀取數據，系統不會產生任何告警或日志；即使執行修改操作，痕跡記錄也極為有限。

技術原理分析

根據Mollema的解釋，Actor tokens的設計特性加劇了問題嚴重性。這類令牌專為后端服務間通信設計，能夠繞過條件訪問等常規安全防護措施。一旦獲取，攻擊者可在24小時內持續仿冒其他身份，且無法中途撤銷。

微軟官方應用可生成具有仿冒權限的令牌，但第三方應用則無此權限。由于Azure AD Graph API缺乏日志記錄功能，管理員無法察覺攻擊者何時訪問了用戶數據、群組、角色、租戶設置、服務主體、BitLocker密鑰及策略等敏感信息。

跨租戶攻擊演示

Mollema在其技術博客中證實，由于Azure AD Graph API未能驗證令牌的源租戶，仿冒攻擊可實現跨租戶傳播。通過修改租戶ID并鎖定已知用戶標識符（netId），攻擊者可從自有租戶滲透至任意其他租戶。

獲取全局管理員的合法netId后，攻擊者將完全接管Microsoft 365、Azure訂閱及關聯服務。更嚴重的是，netId可通過暴力破解快速獲取，某些情況下還能從跨租戶協作的訪客賬戶屬性中提取。

演示視頻展示了Actor tokens在單租戶內的使用方式，但相同方法通過該漏洞可實現跨租戶攻擊。

修復與行業反思

微軟在收到報告后三天內（7月17日）即推出全球修復方案，后續還追加了阻止應用通過Azure AD Graph請求Actor tokens的緩解措施。該公司表示內部遙測未發現漏洞利用證據，該漏洞于9月4日正式獲得CVE-2025-55241編號。

然而安全專家指出，該事件暴露出對云身份系統信任機制的深層擔憂。Radiant Logic產品總監Anders Askasan強調："此事件表明未文檔化的身份特性可能悄然繞過零信任架構。Actor tokens創建了一個沒有策略、沒有日志、沒有可視性的影子后門，動搖了云信任基礎。教訓很明確：廠商事后修補遠遠不夠。"

他建議："為降低系統性風險，企業需要建立覆蓋整個身份結構的獨立可觀測性，持續關聯賬戶、權限和策略。組織必須獲得與廠商無關的可信身份數據視圖，以便實時驗證并在敵對入侵升級為不可逆的數據泄露前采取行動。"