微软修复 CVSS 10.0 分高危 Entra ID 漏洞 CVE-2025-55241

微软近期修复了Azure Entra ID（原Azure Active Directory）中的微软危一个高危安全漏洞（CVE-2025-55241）。该漏洞最初被评估为低危权限提升漏洞，修复但后续安全研究表明其实际危害远超预期——攻击者可借此仿冒包括全局管理员在内的分高任何用户身份。

漏洞发现过程

网络安全研究员Dirk-Jan Mollema在为今年黑帽大会和DEF CON会议准备演讲材料时，漏洞首次发现了这一漏洞。微软危其研究表明，修复未公开文档的分高"Actor tokens"（执行者令牌）结合传统Azure AD Graph API的验证缺陷 ，可被滥用于仿冒任意Entra ID租户中的漏洞用户身份，甚至包括全局管理员。微软危

这意味着在一个实验租户中生成的免费模板修复令牌 ，能够获得对其他租户的分高管理控制权 。若仅读取数据，漏洞系统不会产生任何告警或日志；即使执行修改操作 ，微软危痕迹记录也极为有限。修复

技术原理分析

根据Mollema的分高解释 ，Actor tokens的设计特性加剧了问题严重性 。这类令牌专为后端服务间通信设计，能够绕过条件访问等常规安全防护措施。一旦获取  ，攻击者可在24小时内持续仿冒其他身份，香港云服务器且无法中途撤销
。

微软官方应用可生成具有仿冒权限的令牌，但第三方应用则无此权限 。由于Azure AD Graph API缺乏日志记录功能
，管理员无法察觉攻击者何时访问了用户数据、群组 、角色、租户设置、服务主体、BitLocker密钥及策略等敏感信息 。

跨租户攻击演示

Mollema在其技术博客中证实，由于Azure AD Graph API未能验证令牌的源租户 ，建站模板仿冒攻击可实现跨租户传播。通过修改租户ID并锁定已知用户标识符（netId），攻击者可从自有租户渗透至任意其他租户
。

获取全局管理员的合法netId后 ，攻击者将完全接管Microsoft 365
、Azure订阅及关联服务。更严重的是，netId可通过暴力破解快速获取，某些情况下还能从跨租户协作的访客账户属性中提取。

演示视频展示了Actor tokens在单租户内的源码下载使用方式，但相同方法通过该漏洞可实现跨租户攻击 。

修复与行业反思

微软在收到报告后三天内（7月17日）即推出全球修复方案 ，后续还追加了阻止应用通过Azure AD Graph请求Actor tokens的缓解措施。该公司表示内部遥测未发现漏洞利用证据 ，该漏洞于9月4日正式获得CVE-2025-55241编号。

然而安全专家指出，该事件暴露出对云身份系统信任机制的深层担忧
。Radiant Logic产品总监Anders Askasan强调 ："此事件表明未文档化的身份特性可能悄然绕过零信任架构 。Actor tokens创建了一个没有策略 、没有日志
、模板下载没有可视性的影子后门，动摇了云信任基础 
。教训很明确
：厂商事后修补远远不够。"

他建议 ："为降低系统性风险，企业需要建立覆盖整个身份结构的独立可观测性，持续关联账户 、权限和策略。组织必须获得与厂商无关的可信身份数据视图  
，以便实时验证并在敌对入侵升级为不可逆的数据泄露前采取行动。"

云计算