近日，微软的云身份与访问管理（IAM）核心服务Entra ID（前身为Azure AD）曝出一个高危漏洞。一个由遗留组件和API缺陷组成的致命组合，理论上允许攻击者获取全球任何企业Entra ID租户的最高控制权，而且不会在受害者日志中留下任何痕迹。

该漏洞的核心在于两种技术的危险组合：一种是被称为“行动者令牌”（Actor Token）的未公开令牌；另一种则是已弃用的Azure AD Graph API中存在的令牌验证缺陷（CVE-2025-55241）。

成功利用此漏洞的攻击者，将能以“全局管理员”（Global Administrator）身份完全控制目标租户，访问其中所有高度敏感的数据和服务，包括Microsoft 365、Salesforce、Dropbox 等。

漏洞核心：无签名的“幽灵令牌”

该漏洞由Outsider Security公司的创始人、安全研究员Dirk-jan Mollema发现。

Entra ID作为数百万企业的数字身份中枢，负责管理用户对本地及云端应用（如 Microsoft 365、Google Cloud、SAP等）的安全访问。而这次风暴的中心，是一种源自微软遗留服务——访问控制服务（Access Control Service）的“行动者令牌”。

Mollema在研究混合Exchange环境时发现了这种特殊令牌。它允许一个服务（如Exchange Online）在与另一个服务（如SharePoint）通信时，“扮演”或模拟租户中的任何其他用户。

这种令牌的设计存在根本性的安全缺陷：

• 无需签名：服务可以在不与Entra ID交互的情况下自行伪造这种模拟令牌，这意味着其创建和使用过程完全没有日志记录。

• 无法撤销：令牌有效期长达24小时，在此期间无法被吊销。

• 绕过安全策略：它可以完全绕过在条件访问（Conditional Access）中配置的任何安全限制，如MFA要求。

• 难以追溯：企业只能依赖资源提供商（如Exchange）的日志来判断这种令牌是否被使用过。

Mollema直言不讳地指出：“这种行动者令牌的整体设计根本就不应该存在。” 微软内部将这种令牌称为“高权限访问”（HPA），并计划将其移除。

攻击链复盘：如何接管一个租户

研究人员的突破性发现来自于一次大胆的测试。他将一个从自己租户生成的“行动者令牌”中的tenant ID修改为另一个目标租户的ID，然后将其发送给已弃用的 Azure AD Graph API (graph.windows.net)。

他本以为会收到“拒绝访问”的错误，但API的返回信息却暗示：令牌本身是有效的，只是令牌中声称的用户身份在目标租户中不存在。

于是，Mollema提供了目标租户中一个有效普通用户的用户ID（netId），API 竟然成功返回了该用户的数据。这意味着，他跨越了租户的边界。

一个完整的攻击链由此形成：

• 生成令牌：攻击者在自己控制的租户中生成一个“行动者令牌”。

• 信息搜集：通过公开API获取目标企业的tenant ID，并找到目标租户中任意一个普通用户的netId。

• 首次模拟：利用手中的行动者令牌，结合目标租户的tenant ID和用户 netId，伪造一个模拟该普通用户的令牌。

• 权限提升：使用这个普通用户权限，通过Azure AD Graph API列出目标租户中所有的全局管理员及其netId。

• 终极模拟：再次伪造令牌，这次模拟的对象是刚刚获取到的全局管理员。

• 完全控制：以全局管理员身份，通过API执行任何读/写操作，如重置密码、添加新管理员、修改配置等。

Mollema强调，在整个攻击链中，只有最后一步的恶意操作才会在受害者租户的日志中留下记录，而前面的所有权限提升和侦察活动都是隐形的。

微软的响应与修复

值得注意的是，作为漏洞关键一环的Azure AD Graph API服务已于去年9月进入弃用流程。微软此前已警告称，该API将在2025年9月初对大多数应用停止服务。

Mollema于7月14日向微软报告了这些问题。微软在9天后（7月23日）确认问题已得到解决。随后在9月4日，微软正式发布了针对CVE-2025-55241的补丁，并将其评定为严重（Critical）级别的权限提升漏洞。

此次事件再次凸显了现代云环境中遗留组件可能带来的巨大安全风险，即使是像微软这样顶级的云服务提供商，其庞大而复杂的系统中也可能潜藏着设计于不同安全时代、如今却能被组合利用的“技术债务”。

参考链接：

https://dirkjanm.io/obtaining-global-admin-in-every-entra-id-tenant-with-actor-tokens/

欧洲多国机场遭网络攻击陷入混乱

上周末，欧洲航空业的“大动脉”遭遇了一次精准的数字打击。

从上周五开始，一场针对航空系统供应商的网络攻击导致欧洲多国主要机场相继陷入混乱。全球最繁忙的伦敦希思罗机场、德国首都的柏林机场以及欧盟“心脏”布鲁塞尔机场，无一幸免，其自动值机和登机系统相继陷入瘫痪。

旅客们面对的是无尽的长队、突然的航班取消和漫长的延误。而风暴的“震中”——布鲁塞尔机场，甚至在周日晚间发出紧急请求，要求航空公司取消周一半数的离港航班，将这场网络安全危机推向了高潮。

一损俱损：航空供应链的“软肋”

这次攻击的目标并非机场本身，而是它们共同的“软肋”——全球最大的航空航天及国防工业公司之一RTX旗下的柯林斯宇航（Collins Aerospace）。

黑客精准地瞄准了柯林斯宇航的MUSE软件系统。这套系统是多家大型航空公司进行旅客值机和登机流程管理的核心工具。一个供应商的系统被攻破，其下游的客户们便瞬间陷入了“一损俱损”的多米诺骨牌效应。

RTX公司在上周六承认了此次事件，并表示正“尽快修复问题”，同时指出，机场可以通过手动值机操作来缓解系统中断带来的影响。

然而，“手动”二字在今天高度自动化的航空枢纽中，意味着灾难性的低效率和混乱。一位从布鲁塞尔出发的旅客描述道：“对我来说，一切照旧。但对那些没有在线值机或需要托运行李的‘可怜人’来说，他们可能就要多等一会儿了。” 这句轻描淡写的评论背后，是成千上万旅客被困在机场的焦灼。

三大枢纽的“压力测试”

在这次突发事件中，欧洲三大机场上演了不同程度的混乱与应对。

布鲁塞尔：取消一半航班

布鲁塞尔机场是此次事件中受创最严重的。机场发言人表示，由于柯林斯宇航尚未提供一个“安全的、更新过的软件版本”来恢复全部功能，为了避免出现更严重的拥堵和临时取消，他们不得不做出艰难决定，请求航司取消周一半数航班。

数据显示，周日该机场已有50个（共257个）预定出港航班被取消，而前一天（周六）则取消了25个（共234个）。这不仅仅是数字，更是数千个被打乱的行程和商业计划。

伦敦希思罗：全力抢修

作为欧洲最繁忙的航空枢纽，希思罗机场表示，“绝大多数航班仍在正常运营”。航空数据提供商Cirium的分析也指出，希思row机场的延误程度为“低度”。尽管如此，机场方面承认，工程师仍在全力从这次系统中断中恢复，幕后的紧张不言而喻。

柏林：切换到手动模式

柏林勃兰登堡机场则采取了“手动变通”方案。机场方面周日称，虽然部分问题依然存在，但“值机、登机、行李处理和提取偶尔会出现更长的等待时间”。他们补充说，当天的离港航班延误情况“与一个正常运营日相当”，这番表态试图安抚旅客情绪，但也从侧面反映出，后台的运营压力已达极限。

攻击背后的警钟

截至周一早些时候，柯林斯宇航发布声明称，他们正与四个受影响的机场及航司客户合作，恢复系统所需的更新已进入“最后阶段”。

然而，事件远未结束。

区域监管机构已介入，调查此次黑客攻击的来源。这起事件也再次敲响了关键基础设施网络安全的警钟。它不再是孤例，而是一系列针对各行各业攻击的最新一环。从汽车制造商捷豹路虎因系统被黑导致生产中断，到零售巨头玛莎百货（Marks&Spencer）因类似事件蒙受数亿英镑的损失，供应链上的任何一个薄弱环节，都可能成为整个产业的“灾难开关”。

在万物互联的时代，效率的提升往往伴随着风险的集中。这次瘫痪欧洲三大机场的“数字幽灵”，暴露了现代航空业对少数几家技术供应商的高度依赖。当代码成为驱动世界运转的核心动力时，如何为它构建坚不可摧的“防火墙”，已成为摆在所有巨头面前的生死考题。

毕竟，下一次攻击来临时，可能就没有“手动值机”的退路了。

文章来源 ：GoUpSec