Критическая уязвимость Microsoft Entra ID: злоумышленники могли стать администраторами в любой организации
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Исследователи в области кибербезопасности обнаружили серьезный изъян в системе идентификации Microsoft Entra ID. Эта уязвимость позволяла злоумышленникам получить права глобального администратора в любом клиенте (tenant) Microsoft Entra ID — и всё это без каких-либо следов.
Уязвимость складывается из двух составляющих: устаревшего сервиса «actor tokens» (акторные токены) и бага повышения привилегий CVE-2025-55241. Акторные токены — это неофициальные, неподписанные токены, которые использовались для имитации пользователей между разными организациями внутри сервисов Microsoft. Выпускал их давно устаревший Access Control Service (ACS). Первоначально эти токены создавались для внутренней аутентификации между сервисами.
Согласно исследователю безопасности Дирк-Яну Моллема (Dirk-jan Mollema), акторные токены обходят стандартные меры безопасности, не фиксируются в журналах событий и действуют в течение суток. Это делало возможным незаметное проникновение в системы других организаций.
Используя открыто доступные идентификаторы клиентов и пользователей, Моллема смог создавать поддельные токены и, в результате, получать доступ к важным данным, а также выполнять действия с административными правами (например, создавать пользователей и менять их пароли), при этом не оставляя следов в логах атакуемой организации.
Суть проблемы — приложение Azure AD Graph API (уже прекращающее свою работу) принимало токены одной организации и использовало их в другой, полностью игнорируя политики безопасности и стандартные процедуры проверки.
Моллема сообщил о проблеме Microsoft. Компания признала уязвимость в середине июля 2025 года и выпустила исправление в течение двух недель. Уязвимость CVE-2025-55241 получила максимальный балл опасности 10 из 10. Официальный патч был опубликован 4 сентября.
Сейчас устаревший API и высоко-привилегированные токены поэтапно убираются из обращения. Microsoft советует администраторам проверить состояние своих систем и обновить их.
PEREC.RU
Microsoft снова в центре технологических приключений, но теперь — из-за устаревших костылей. Баг в Entra ID позволял стать админом любой компании, если знать её публичный номер. Большинство бы даже не заметило взлома: ни логов, ни тревог, только тихий захват. Система токенов для «своих» заслуживает отдельной главы в истории пофигизма. Похоже, проверки безопасности в крупной корпорации — это миф из учебников. Наверняка решение принималось на похмелье метафорического ИТ-гиганта.
Акцент на том, что баг — не случайность, а результат хлипкой архитектуры, которую просто не обновили вовремя. Microsoft исправила дыру довольно быстро, но кому теперь верить? Показательно: лишние сервисы и караульщики «без будки» делают даже гигантов уязвимыми. Зато у нас есть официальное подтверждение: даже монополисты могут работать абы как и латать пробоины в последний момент.
Ironия ситуации — важнейшая система безопасности готовила пропуска для злоумышленников почти в открытую. Осталось дождаться мемов про «Microsoft и ваши тайны», ведь доверять теперь можно только собственным патчам и паранойе. Всё это — результат вялой оптимизации и вечного бинта поверх дырки. Витиевато, но жизненно. Не обновились? Тогда удачи с «гостями». Теперь патчи — твой друг.
