微软Entra ID中存在一个严重漏洞，这可能会让攻击者获得对微软全球云基础设施中任何租户的完全管理控制权。

该漏洞现已修复，于2025年7月被发现，并被分配了CVE-2025-55241编号。

这位研究人员称，这个漏洞可能是他发现过的影响最大的一个，它存在于传统认证机制和API验证错误的结合中。

根据德克-扬·莫勒马的详细报告，该漏洞允许攻击者使用来自其自身租户的一种特殊类型的令牌，在任何其他客户的租户中冒充任何用户，包括全局管理员。

微软Entra ID漏洞

此次攻击利用了两个关键组件：

1. 参与者令牌：未公开的内部使用令牌，微软服务使用这些令牌代表用户相互通信。这些强大的令牌不受条件访问等标准安全策略的约束。
2. Azure AD 图形 API 漏洞：较旧的 Azure AD 图形 API 存在一个严重疏忽，未能正确验证传入的参与者令牌是否来自其试图访问的同一租户。

这种验证失败意味着，攻击者在实验室环境中请求的令牌可被用于攻击并访问另一个组织的租户。

攻击者可能会冒充全局管理员，获取无限制访问权限，从而修改租户设置、创建或接管身份以及授予任何权限。

此控制将扩展到所有相连的Microsoft 365服务，例如Exchange Online和SharePoint Online，以及任何在Azure中托管的资源。

这种漏洞的性质因其隐蔽性而异常危险。请求和使用恶意令牌不会在受害者的租户中生成任何日志，这意味着攻击者可能在不留下任何痕迹的情况下窃取敏感信息。这包括：

• 用户信息和个人详情
• 组成员身份和管理员角色
• 租户配置和安全策略
• 应用程序和服务主体数据
• 设备信息和BitLocker恢复密钥

德克-扬·莫勒马表示，读取数据时不会留下痕迹，但修改对象（比如添加新管理员）会生成审计日志。然而，这些日志会令人困惑地显示被冒充管理员的用户名，却带有微软服务（如“Office 365 Exchange Online”）的显示名称，若没有对该攻击的特定了解，很容易忽略这些日志。

要实施此次攻击，攻击者只需目标的公共租户ID和有效的内部用户标识符（netId）。研究人员指出，这些netId可通过暴力破解获取，更令人担忧的是，还可通过在具有来宾用户（B2B）信任关系的租户间“跳转”获取，这可能会导致攻击在云生态系统中以指数级速度蔓延。

研究人员于2025年7月14日，也就是发现该漏洞的同一天，向微软安全响应中心（MSRC）报告了这一漏洞。微软确认了其严重性，并在2025年7月17日前部署了全球修复程序。

8月推出了进一步的缓解措施，以防止应用程序为Azure AD 图形 API请求此类Actor令牌。

根据微软对其内部遥测数据的调查，未发现该漏洞在野外被滥用的证据。这位研究人员提供了一个Kusto查询语言（KQL）检测规则，供各组织在自身环境中排查任何潜在的入侵迹象。