微软修补了Entra ID漏洞CVE-2025-55241，该漏洞允许攻击者跨租户冒充全局管理员，从而​​有可能完全接管Microsoft 365和Azure。

微软已修复Azure Entra ID中的一个严重安全漏洞，编号为CVE-2025-55241，该漏洞最初被描述为一个影响较小的提权漏洞。但后来的安全研究发现，该漏洞的严重程度远超预期，允许攻击者冒充任何​​用户，包括全局管理员。

该漏洞最初是由网络安全研究员Dirk-Jan Mollema在今年早些时候准备Black Hat和DEF CON演示时发现的。他的发现表明，未记录的“Actor令牌”与旧版Azure AD Graph API中的验证失败相结合，可能会被滥用来冒充任何Entra ID租户中的任何用户，甚至是全局管理员。

这意味着一个实验室租户生成的令牌可以授予其他人的管理控制权，如果仅读取数据则不会发出警报或记录，如果进行了修改则会留下有限的痕迹。

Mollema认为，Actor令牌的设计使问题更加严重。这些令牌用于后端服务间通信，并绕过了条件访问等常规安全保护措施。一旦获得，它们允许在24小时内冒充其他身份，且在此期间无法撤销。

Microsoft应用程序可以利用模拟权限生成这些凭据，但非Microsoft应用程序将被拒绝该权限。由于Azure AD Graph API缺乏日志记录功能，管理员无法看到攻击者何时访问了用户数据、组、角色、租户设置、服务主体、BitLocker密钥、策略等。

在其详细的技术博客文章中，Mollema演示了如何跨租户进行模拟，因为Azure AD Graph API未能验证令牌的来源租户。通过更改租户ID并定位已知的用户标识符(netId)，他可以从自己的租户迁移到任何其他租户。

有了全局管理员的有效netId，攻击者就有机会完全接管Microsoft 365、Azure订阅和连接服务。更糟糕的是，netId可能会被快速暴力破解，在某些情况下，甚至可以通过跨租户协作从来宾帐户属性中检索。

微软于7月17日发布了全球修复补丁，距离首次报告发布仅三天，随后又添加了进一步的缓解措施，阻止应用程序请求Azure AD Graph的Actor令牌。该公司表示，其内部遥测数据中未发现任何利用该漏洞的证据。9月4日，该漏洞被正式编号为CVE-2025-55241。

然而，安全专家表示，该问题暴露了人们对云身份系统信任的更广泛担忧。Radiant Logic产品总监Anders Askasan认为：“这起事件表明，未经记录的身份特征可以悄悄绕过零信任。”

“攻击者令牌创建了一个没有策略、没有日志、没有可见性的影子后门，破坏了云端信任的根基。结论很明确：事后仅靠供应商的修补根本不够。”他补充道。

他建议： “为了降低系统性风险，企业需要在整个身份结构中实现独立的可观察性，并持续关联账户、权限和策略。组织需要一个可信的、与供应商无关的身份数据和控制视图，以便能够实时验证并在敌对入侵升级为几乎无法挽回的漏洞之前采取行动。”