- 배우 토큰은 로깅 또는 보안 점검없이 크로스 테넌트 변장을 허용했습니다.
- CV-2025-55241 AJUR 광고에 따라 API API를 통해 글로벌 관리자 액세스 권한
- Microsoft는 2025 년 9 월 오류를 패치합니다. 배우 토큰과 그래프 API가 주기적으로 나옵니다
보호 연구원들은 Microsoft Entra ID에서 위협 행위자의 언제라도 글로벌 관리자에게 액세스 할 수있는 중요한 약점을 발견했습니다.
약점은 “Actor Token”이라는 레거시 서비스와 CVE-2025-55241로 추적 된 유리한 버그의 중요한 높이의 두 가지로 구성됩니다.
배우 토큰은 마이크로 소프트 서비스에서 위장하여 임차인 전체의 사용자를 위장합니다. 이들은 ACS (Access Control Service)라는 상속 시스템에 의해 발행되며 원래 서비스에서 서비스 (S2S)를 인증하도록 설계되었습니다.
과소 평가하고 주기적으로
오류를 발명 한 보호 연구원 Dark-Jan Molma에 따르면,이 토큰은 표준 보호 제어를 우회하여 로깅이 부족하고 24 시간 동안 유효하여 검출없이 무단 액세스를 위해 흡수됩니다.
Molma는 공개 테넌트 ID 및 사용자 식별자를 사용하여 의사 -텍센을 생성함으로써 민감한 데이터에 액세스하고 다른 조직의 환경에서 관리 조치를 수행 할 수 있음을 증명했습니다.
이러한 활동에서 사용자 생성, 암호 재설정 및 구성 수정 – 모두 피해자의 테넌트 로그를 생성하는 것은 아닙니다.
Molma는 다음과 같이 설명했다. Molma는 다음과 같이 설명했다. “나는 테스트 세입자 중 몇 명이 더 미쳤는지 확인하기 위해 테스트했지만, 임차인 ID (홍보 정보)를 알 때까지 다른 세입자들 사이에 데이터에 액세스하고 사용자가 알고있는 임차인이 될 때까지 실제로 테스트했다.
점차적으로 단계에서 나오는 과소 평가 된 시스템 인 AD Graph API는 한 임차인으로부터 토큰을 받고 조건부 액세스 원칙과 표준 인증 점검을 우회하는 것으로 밝혀졌습니다.
Molma는 2025 년 7 월 중순에 인정 된 Microsoft 에서이 문제를보고하여 2 주 후에 패치했습니다. CVE -2025-55241 10/10 (Critical) 강렬한 점수가 주어졌으며 공식적으로 9 월 4 일에 해결되었습니다.
Ajur 광고 그래프 API가 줄어들고 있으며, Microsoft의 “High-Welcome Access”라고하는 토큰은 내부적으로 추출되고 있습니다.
을 통해 블리핑 컴퓨터
