Microsoft Entra ID重大漏洞曝光 駭客可劫持全球企業租戶

資安研究人員近日揭露Microsoft Entra ID（前身為Azure Active Directory）存在嚴重漏洞，攻擊者可利用此漏洞冒充任何企業租戶的全域管理員，獲得完整系統控制權。這個編號為CVE-2025-55241的漏洞已獲得CVSS 10.0滿分，突顯極端嚴重性。微軟已修補，且目前無證據顯示此漏洞遭到實際攻擊利用。

漏洞成因與攻擊機制

這個致命漏洞源於兩個舊有元件的結合：Access Control Service發行的未記錄「行為者權杖」（actor tokens），以及已棄用的Azure AD Graph API中的驗證缺陷。攻擊原理在於Azure AD Graph API未能適當驗證權杖的來源租戶，使得攻擊者可以跨租戶使用這些權杖。

發現此漏洞的資安研究員Dirk-jan Mollema來自攻擊性安全公司Outsider Security，他在研究混合Exchange設定時意外發現了這些行為者權杖。Mollema解釋，當Exchange代表用戶與其他服務通信時會請求這些權杖，而行為者權杖允許服務在與Exchange Online、SharePoint以及Azure AD Graph通信時冒充租戶中的其他用戶。

最令人擔憂的是，這些行為者權杖缺乏基本安全控制措施。它們並未經過簽名驗證，可用於冒充租戶中的任何用戶，有效期為24小時且無法在此期間內撤銷。更危險的是，這些權杖完全繞過條件式存取中配置的任何限制，且發行和使用過程都不會產生日誌記錄。

攻擊流程與潛在影響

攻擊者利用此漏洞的過程簡單但極具破壞性。攻擊者需要從自己控制的租戶生成行為者權杖，接著透過公開API根據域名找到目標環境的租戶ID，然後獲取目標租戶中有效用戶的netId。利用這些資訊，攻擊者可以製作冒充權杖，列出租戶中所有全域管理員及其netId，進而製作冒充全域管理員的權杖，最後透過Azure AD Graph API執行任何讀寫操作。

成功利用此漏洞的攻擊者將獲得目標組織Entra ID租戶的完整控制權，包括存取高度敏感的資料、用戶和群組詳細資訊、租戶設定、應用程式權限，以及同步到Entra ID的設備資訊和BitLocker金鑰。更嚴重的是，由於缺乏API層級的日誌記錄，這些惡意活動幾乎不會留下任何痕跡。

攻擊者冒充全域管理員後，可以註冊新帳戶、授予自己額外權限或竊取敏感資料，導致租戶完全淪陷。這種訪問權限也延伸到使用Entra ID進行身份驗證的任何服務，包括SharePoint Online和Exchange Online。Mollema指出，這還將提供對Azure中託管的任何資源的完整存取權限，因為這些資源從租戶層級進行控制，全域管理員可以在Azure訂閱上授予自己權限。

「高特權存取」的存在

微軟將這種跨租戶存取情況稱為「高特權存取」（HPA），定義為應用程式或服務在不提供任何用戶上下文證明的情況下獲得對客戶內容的廣泛存取權限，並可冒充其他用戶。Mollema強調，整個行為者權杖設計從一開始就不應該存在，因為它缺乏必要的安全控制措施。

研究發現，微軟內部依賴行為者權杖進行服務間通信，但公司計劃移除這些權杖。這些權杖的問題包括發行時不產生日誌、創建或使用時也不產生日誌、24小時有效期內無法撤銷、完全繞過條件式存取中配置的限制，以及只能依靠資源提供者的日誌來了解這些權杖是否在租戶中被使用。

修補時程與產業影響

Mollema於7月14日向微軟報告此問題，微軟在九天後確認問題已解決。9月4日，微軟正式發布CVE-2025-55241的修補程式，將它描述為Azure Entra中的關鍵特權提升漏洞。使用者應注意Azure AD Graph API已於2025年8月31日正式棄用和退役，微軟在2019年宣布棄用，並敦促用戶將應用程式遷移到Microsoft Graph。

雲端安全公司Mitiga表示，成功利用CVE-2025-55241可以繞過多因素驗證、條件式存取和日誌記錄，不會留下事件痕跡。Mitiga的Roei Sherman指出，攻擊者可以巧妙地製作這些權杖，使Entra ID誤以為他們是任何地方的任何人，漏洞產生的原因是舊有API未能驗證權杖的租戶來源。

雲端安全威脅持續升溫

這起事件是近期多起雲端安全事件的最新案例，突顯了雲端環境面臨的複雜威脅。最近幾週還發現了多項雲端相關漏洞和攻擊方法，包括Entra ID OAuth設定錯誤、Microsoft OneDrive商務版已知資料夾移動功能的濫用攻擊、Azure AD應用程式憑證洩露，以及針對AWS基礎設施的各種攻擊技術。

Binary Security的研究員先前也披露了Azure Resource Manager中的跨租戶存取問題，而Mollema此前還詳述了影響Exchange Server本地版本的高嚴重性安全漏洞。這些發現顯示，即使是雲端環境中常見的設定錯誤也可能對相關組織造成災難性後果，導致資料竊取和其他後續攻擊。

專家強調，雲端環境的安全威脅正在不斷演進，組織必須持續關注安全更新、定期檢視存取權限設定，並建立完善的監控機制來偵測異常活動。