CVE-2025-55241：微软Entra ID高危漏洞可致全球租户沦陷

漏洞概述

作为2025年最重大的安全发现之一，安全研究员Dirk-jan Mollema披露了Microsoft Entra ID（前身为Azure AD）中的一个严重漏洞。该漏洞可能使攻击者攻陷全球几乎所有租户。

漏洞编号：CVE-2025-55241
CVSS评分：10.0（最高危）
根源问题：不安全的"Actor令牌"和旧版Azure AD Graph API中的验证失效。

研究员评价

Mollema将其描述为：

"可能是我发现的影响最严重的Entra ID漏洞。该漏洞本可让我攻陷全球所有Entra ID租户。"

漏洞技术分析

漏洞组成

此漏洞由两部分组成：

1. 未公开的模拟令牌（Actor tokens）

   • 微软用于后端服务间身份验证

2. Azure AD Graph API的严重验证缺陷

   • 未正确强制实施租户边界

攻击原理

这意味着"我在实验室租户中请求的令牌，可用于冒充任何租户中的任何用户（包括全局管理员）"。由于Actor令牌绕过条件访问策略，管理员几乎无法通过配置阻止此类攻击。

Actor令牌：设计缺陷与安全隐患

令牌特性

Actor令牌是由微软访问控制服务（Access Control Service）颁发的特殊JSON Web令牌（JWT），主要用于Exchange Online或SharePoint等服务模拟用户。

Mollema解释：

"一旦Exchange获取Actor令牌，即可使用该令牌在24小时内针对目标服务模拟任何用户。"

安全缺陷

这类令牌缺乏基本安全防护：

• ✅ 颁发与使用均无日志记录
• ✅ 24小时有效期内无法撤销
• ✅ 完全绕过条件访问策略

Mollema直言：

"在我看来，整个Actor令牌设计本就不该存在。它几乎缺少所有必要的安全控制。"

攻击链分析

初始攻击向量

租户ID篡改与横向移动
漏洞的第二部分是Azure AD Graph未验证租户ID。Mollema发现，通过修改模拟令牌中的租户ID，即可查询其他租户数据：

"只要知道目标租户ID（公开信息）和其中某个用户的netId，就能访问该租户数据。"

攻击升级路径

攻击者可进一步升级攻击：

1. 冒充普通用户枚举信息
2. 识别全局管理员并伪造其令牌
3. 完全接管租户，访问Microsoft 365和Azure资源

隐蔽性分析

更严重的是，攻击几乎不留痕迹。Mollema指出：

"受害者租户的日志中不会记录任何攻击行为。"

攻击可行性

即使用户的netId本应是秘密，Mollema发现其为递增序列且可暴力破解，几分钟内即可猜解有效ID。

他还演示了攻击者可滥用B2B信任关系，通过来宾账户在租户间横向移动：

"利用单个Actor令牌，几分钟内即可收集攻陷全球大多数租户所需的信息。"

响应与修复

负责任披露

Mollema已向微软安全响应中心（MSRC）负责任地披露了该漏洞。

修复措施

微软迅速采取行动，在数天内完成修复，包括：

• 阻止为Azure AD Graph请求Actor令牌
• 分配CVE-2025-55241漏洞编号

本文基于Dirk-jan Mollema的安全研究披露整理