随着云计算和数字化转型的加速,身份管理和访问控制成为企业信息安全的核心。微软旗下的Entra ID(前称Azure Active Directory)作为广泛使用的身份认证服务,保障着全球无数企业的IT安全。然而,2025年揭露的一个关键漏洞显示,即使是大型云服务商也存在安全隐患。该漏洞编号为CVE-2025-55241,被评为最高严重等级,暂时影响所有Entra ID租户,除少数国有云部署外均属受影响范围。 漏洞的起因主要与服务间令牌(Service-to-Service Actor Tokens,简称S2S Token)和过时的Azure AD Graph API密切相关。微软的Access Control Service(ACS)负责颁发这些令牌,用于系统内部服务之间的身份认证。
然而,旧版Graph API未能有效验证令牌的原始租户信息,导致攻击者能够利用自制的Token跨租户冒充任何用户身份,甚至是全局管理员。 这一特性突破了传统基于租户隔离的安全边界,使得攻击者不需要拥有受害租户的预先访问权限,即可获得极高的权限。通过冒充全局管理员,攻击者可以创建新的用户账户,提升权限,甚至访问或窃取敏感数据,涵盖SharePoint Online、Exchange Online等关键业务应用。 更严重的是,该漏洞绕过了微软严格的多因素认证(MFA)和条件访问策略。攻击路径藏匿于缺失的API级别日志之中,导致攻击行为无法被常规安全监控捕捉和审计,从而给安全运营带来了极大挑战。 安全研究员Dirk-jan Mollema于2025年7月首次发现该漏洞。
他指出,攻击者只需从自己的非特权测试环境中获取可利用的令牌,即可轻易入侵任何组织的Entra ID租户。微软虽已于2025年7月17日发布补丁,但漏洞正式编号于9月初公布,提醒所有用户尽快切换至支持更安全验证的Microsoft Graph API。 微软自2019年宣布逐步淘汰Azure AD Graph API,计划于2025年8月底彻底停用。受影响的客户被敦促尽快迁移至替代的Microsoft Graph平台,以防范类似安全风险。这一转变不仅提升了接口的安全性,也强化了对访问来源和权限边界的验证机制。 业内安全公司Mitiga进一步指出,漏洞成功利用后可完全绕过微软的安全防护措施,攻击者甚至能撤销受害者用户权限或持久控制租户环境。
攻击方式利用的是Graph API未能严格验证租户身份的重大设计缺陷,通过伪造Actor令牌实现全局管理员身份冒充。这一发现不仅敲响了企业云安全的警钟,也推动业界对传统身份验证机制的深刻反思。 与此同时,微软生态中其他安全事件频繁曝光,如Exchange Server本地版本存在的特权提升漏洞、Intune证书配置缺陷导致的ESC1攻击等,这反映出云环境与混合部署的安全复杂性正日益加剧。多家安全团队也披露了利用API管理器(API Manager)实例实现跨租户访问的攻击路径,以及Azure资源管理器被滥用攻击关键数据存储的情况。 此外,近期针对AWS等其它主流云平台的安全漏洞和攻击手法层出不穷,包括利用Server-Side Request Forgery(SSRF)漏洞获取实例元数据服务(IMDS)中的临时凭据,滥用IAM角色信任策略进行持久化攻击等。相关安全研究提醒企业不仅要加强身份验证机制,还需全面优化云服务配置和访问策略,防止权限滥用和持续渗透。
面对复杂的云安全挑战,企业应采取多重措施提升防护能力。首先,确保所有关键系统及时应用官方安全补丁,避免漏洞长期暴露带来的风险。其次,淘汰过时接口和服务,迁移至支持细粒度权限控制的现代API。再者,强化日志审计和异常检测能力,及时识别和响应潜在的入侵活动。 同时,推行零信任安全模型,通过动态身份验证和权限最小化原则,限制所有访问行为的权限范围。多因素认证和条件访问策略需配合不断更新的安全威胁做调整,避免"被绕过"的风险。
此外,加强员工安全意识培训和安全事件演练,也是抵御社会工程和钓鱼攻击的重要环节。 作为全球领先的云服务提供商,微软在快速迭代和提升云服务的同时,也面临日益复杂的安全威胁。此次Entra ID漏洞事件彰显了持续安全检测和及时响应的重要性。对于企业用户来说,做好风险评估与资源保护,构建多层次防御体系,将是应对未来云安全风险的关键。 总体来看,Entra ID漏洞暴露了云身份服务中一些潜在的安全缺陷,但微软的快速修复和升级策略值得肯定。未来,随着身份安全技术的不断进步,例如更强的基于硬件的身份验证、人工智能驱动的异常检测,企业的云安全保障能力将进一步增强。
建议所有使用微软身份服务的组织密切关注官方安全公告,主动审视和优化自身安全架构,确保数字资产安全无虞。 。
