Microsoft исправила уязвимость Entra ID, допускающую выдачу себя за глобального администратора

Корпорация Microsoft устранила критическую уязвимость безопасности в Azure Entra ID, идентифицируемую как CVE-2025-55241 , которая изначально была описана как уязвимость, приводящая к незначительному повышению привилегий. Однако позднее исследование безопасности показало, что уязвимость была гораздо серьёзнее: злоумышленники могли выдавать себя за любого пользователя, включая глобальных администраторов.

Уязвимость была первоначально обнаружена исследователем кибербезопасности Дирком-Яном Моллемой во время подготовки к презентациям Black Hat и DEF CON в начале этого года. Его выводы показали, что недокументированные «токены акторов» в сочетании с ошибкой проверки в устаревшем API Azure AD Graph могут быть использованы для выдачи себя за любого пользователя в любом клиенте Entra ID, даже за глобального администратора.

Это означало, что токен, созданный в одном арендаторе лаборатории, мог предоставлять административный контроль над другими, без оповещений или журналов, если речь шла только о чтении данных, и с ограниченными следами, если вносились изменения.

По словам Моллемы, структура токенов акторов ещё больше усугубила проблему. Эти токены выпускаются для взаимодействия между бэкенд-сервисами и обходят стандартные средства защиты, такие как условный доступ. После получения токены позволяли выдавать себя за другие личности в течение 24 часов, в течение которых отзыв был невозможен.

Приложения Microsoft могли создавать их с правами олицетворения, но приложениям сторонних разработчиков эта привилегия была бы запрещена. Поскольку API Azure AD Graph не вёл журналирование, администраторы не могли видеть, когда злоумышленники получали доступ к данным пользователей, группам, ролям, настройкам клиентов, субъектам-службам, ключам BitLocker, политикам и т. д.

В своей подробной технической публикации в блоге Моллема продемонстрировал, что имперсонация работала между арендаторами, поскольку API Azure AD Graph не мог проверить исходного арендатора токена. Изменив идентификатор арендатора и указав известный идентификатор пользователя (netId), он мог перейти из своего арендатора в любой другой.

Наличие действительного сетевого идентификатора (netId) глобального администратора открывало возможность полного захвата Microsoft 365, подписок Azure и подключенных сервисов. Хуже того, сетевые идентификаторы можно было быстро подобрать методом подбора или, в некоторых случаях, извлечь из атрибутов гостевой учетной записи при межклиентском взаимодействии.

Microsoft выпустила глобальное исправление 17 июля, всего через три дня после первоначального сообщения, а затем добавила дополнительные меры, блокирующие запросы приложений на токены акторов для Azure AD Graph. Компания заявила, что внутренние данные телеметрии не выявили никаких свидетельств эксплуатации уязвимости. 4 сентября уязвимость была официально зарегистрирована как CVE-2025-55241.

Однако специалисты по безопасности утверждают, что эта проблема выявляет более широкие опасения по поводу доверия к облачным системам идентификации. Андерс Аскасан , директор по продуктам компании Radiant Logic, утверждает: «Этот инцидент демонстрирует, как недокументированные функции идентификации могут незаметно обходить принцип «нулевого доверия »».

« Токены акторов создали теневой бэкдор без каких-либо политик, журналов и прозрачности, подрывая саму основу доверия в облаке. Вывод очевиден: обновления со стороны поставщика постфактум просто недостаточно», — добавил он.

« Для снижения системного риска предприятиям необходим независимый мониторинг всей своей инфраструктуры идентификации, постоянное сопоставление учётных записей, прав и политик » , — посоветовал он. «Организациям необходимо надёжное, независимое от поставщика представление своих идентификационных данных и средств контроля, чтобы они могли проверять их в режиме реального времени и принимать меры до того, как злонамеренное вторжение перерастёт в нарушение, которое будет практически невозможно устранить».