荷蘭資安研究員Dirk-jan Mollema揭露微軟Entra ID（前Azure Active Directory）中的關鍵權限提升漏洞CVE-2025-55241，該漏洞可能讓攻擊者利用「Actor tokens」及Azure AD Graph API驗證失敗，跨租戶偽裝成全球管理員，全面入侵全球幾乎所有Entra ID租戶。雖然微軟於7月已修補並於9月4日發布CVE公告（CVSS分數由9.0升至10.0），但無野外利用跡象，此事件凸顯微軟身份及存取管理（IAM）系統的遺留問題，引發資安社群警覺。專家呼籲，台灣企業需檢查Azure應用依賴舊API，強化日誌監控，防範類似隱形攻擊。

 

 

Mollema於7月準備Black Hat USA 2025及DEF CON 33演講「Advanced Active Directory to Entra ID Lateral Movement Techniques」時發現此漏洞，立即向微軟安全回應中心（MSRC）報告。漏洞源於Azure AD Graph API的驗證失敗，該API為REST介面，用於存取Azure雲端資源，包括Entra ID。Mollema解釋，攻擊者可利用另一發現的「Actor tokens」—微軟用於後端服務間通訊的未記錄權杖—繞過存取控制，進行權限提升。這些權杖無條件存取政策限制，無法於24小時生命週期內撤銷，且幾乎無安全控制。

Actor tokens由遺留服務「Access Control Service」（ACS）生成，用於SharePoint應用及微軟內部驗證，但缺乏簽名及日誌記錄。Mollema發現，Azure AD Graph API未驗證權杖來源租戶，讓攻擊者從實驗租戶請求權杖，修改租戶ID及netID（Azure AD Graph用戶識別碼），偽裝成目標租戶的任意用戶，包括全球管理員。netID雖非公開，但可透過遞增生成模式暴力破解，攻擊者僅需目標租戶ID（公開資訊）及netID，即可存取資料。Mollema於部落格寫道：「這意味著，我實驗租戶的權杖可驗證為其他租戶的任何用戶，包括全球管理員。」

 

 

測試中，Mollema修改權杖租戶ID至測試帳戶，Azure AD Graph回應「權杖有效但用戶不存在」，但使用有效netID後，即獲取存取權。進一步修改權杖猜測全球管理員netID，即可無痕跡全面控制租戶，包括修改物件、建立新身分及授予權限。這些操作僅在來源租戶產生日誌，而非受害租戶，導致無審計記錄。Mollema強調：「若非這些權杖缺乏安全措施，此等影響及有限遙測不可能發生。」此漏洞可延伸至Microsoft 365及Azure，竊取郵件、檔案或授予Azure訂閱權限，但修改動作通常產生審計日誌—除非僅讀取目錄資訊。

 

 

Azure AD Graph API預定2025年停用，但許多微軟應用仍依賴，Mollema認為停用計畫未影響漏洞，但舊API不易獲工程關注。更大問題在Actor tokens，他主張此機制本不該存在，應採用OAuth權杖流程：簽名權杖防篡改，並產生日誌以審計。Mollema告訴Dark Reading：「OAuth流程有簽名權杖及日誌生成，這是模仿協議應有的重要屬性。」此發現震驚資安社群，Google安全工程副總裁Heather Adkins於X發文：「這是我見過最糟漏洞之一。」Zenity CTO Michael Bargury回應：「我們需另一CSRB確保微軟燒毀此模仿權杖機制。」

 

 

此事件重燃對微軟安全的批評，尤其Azure IAM。2024年美國國土安全部網路安全評審委員會（CSRB）報告抨擊微軟雲端安全文化「不足」，需全面改革。報告指微軟未釐清中國國家級威脅行為者Storm-0558如何竊取Microsoft帳戶（MSA）消費者簽名金鑰，用於入侵逾20客戶郵件帳戶。CSRB批評微軟延數月修正部落格，該文原稱攻擊者從網路崩潰傾印中竊取金鑰。Dark Reading詢問微軟是否調查此漏洞為Storm-0558攻擊向量，但公司未回應。

 

 

微軟安全回應中心工程副總裁Tom Gallagher聲明：「感謝Dirk-jan Mollema的協調揭露。我們快速緩解新問題，並加速停用此遺留協議，作為Secure Future Initiative（SFI）一部分。我們於驗證邏輯中實施程式碼變更，測試並應用至雲端生態系統。無濫用證據，並發布無行動CVE-2025-55241。我們致力強化身分標準，推動100%應用使用標準SDK，並與社群合作負責修補漏洞，提升安全。」微軟未直接回應Actor tokens及ACS目的、文件缺乏，或Azure AD Graph停用進度。

 

 

Mollema讚揚微軟快速回應，包括Black Hat及DEF CON後的額外緩解：完全封鎖客戶請求Azure AD Graph的Actor tokens。「這是深度防禦的好緩解，即使類似驗證漏洞，若無法請求權杖，即無法濫用。」他認為，微軟自CSRB報告後努力改善平台安全，2024年啟動SFI—公司史上最大資安工程計畫，等同34,000工程師全職11個月，涵蓋文化、治理及六工程支柱。2025年4月報告顯示，SFI推進AI及姿勢管理、漏洞賞金計畫，並強化MFA強制於Azure Resource Manager（10月1日起階段2）。8月，微軟發布SFI模式及實務庫，分享Zero Trust架構，助客戶實施安全措施。

 

 

儘管進展，Mollema憂心微軟內部協議及流程缺乏透明，外部研究員無法評估或發現漏洞。「這些協議可能源自Azure/Entra ID早期，過去壞安全決策影響現在，而非近期問題。」WIRED報導，此漏洞若未修補，可導致數位災難，攻擊者獲取所有Azure客戶帳戶存取。 CSO Online指出，漏洞暴露雲端身分信任模型缺口，遺留API及隱形委託機制易無痕跡利用，呼籲強化治理及遙測。

台灣資安專家分析，此漏洞對本土企業衝擊巨大。Entra ID廣泛用於Azure及Microsoft 365，台灣雲端轉型加速，遺留API依賴高。行政院國家資通安全會報表示，將監測Entra ID相關威脅，呼籲用戶遷移至Microsoft Graph API，檢查應用權杖使用。趨勢科技台灣區總經理洪偉淦受訪時指出：「Actor tokens無日誌及撤銷，凸顯IAM透明不足。台灣企業應實施最小權限原則，監控Graph API呼叫，並加速SFI類似計畫。」他建議，啟用條件存取政策、定期審核服務主體，並使用SIEM整合微軟審計日誌，防範跨租戶攻擊導致資料外洩或供應鏈入侵。

 

 

 

此事件與近期資安趨勢呼應，如SonicWall雲端備份遭入侵暴露防火牆配置、北韓Kimsuky利用ChatGPT偽造軍ID釣魚，顯示雲端IAM及AI濫用成焦點。微軟事件提醒，遺留系統是攻擊熱點，企業需主動遷移及監控。台灣政府可借鏡CSRB，強化雲端資安審核，推動SFI式多年度計畫。用戶防範之道包括：驗證應用API依賴、啟用MFA及條件存取、檢查租戶日誌。隨著雲端普及，此類漏洞料將持續，平衡創新與安全刻不容緩。