Тестовый аккаунт = полный доступ: забытый код Microsoft стал ключом ко всей инфраструктуре Azure

Microsoft едва не получила уязвимость, способную обернуться массовой компрометацией клиентов облака: голландский исследователь Дирк-ян Моллема обнаружил сразу две взаимосвязанные ошибки в сервисе управления идентификацией Entra ID (бывший Azure Active Directory), которые при сочетании позволяли получить права глобального администратора и фактически завладеть любым «тенантом» Azure.

Первая проблема касалась малоизвестного механизма выдачи внутренних токенов — так называемых Actor Tokens, используемых для сервис-to-service аутентификации; вторая — устаревшего интерфейса Azure AD Graph, который неправильно проверял, из какого тенанта поступал запрос, и из-за этого принимал чужие токены. Сочетание этих ограничений позволяло из тестового или пробного аккаунта запросить токены, выдать себе полномочия другого пользователя и создать администратора с неограниченными правами в чужом тенанте — с возможностью менять настройки, добавлять пользователей и управлять подписками и приложениями Entra ID. Сама уязвимость получила идентификатор CVE-2025-55241.

Моллема сообщил о находке в Microsoft Security Response Center 14 июля. Компания оперативно начала расследование, внедрила исправление в рабочих механизмах в течение нескольких дней и подтвердила полное устранение к 23 июля с дополнительными мерами в августе. В официальных комментариях представители Microsoft указали на внесенные изменения в логику проверки токенов и ускоренное завершение работ по выводу из употребления унаследованных протоколов в рамках инициативы Secure Future Initiative. По итогам внутренней проверки корпорация не обнаружила следов злоупотребления уязвимостью в реальных условиях.

Специалисты отмечают, что подобные дефекты в провайдерах идентичности являются одними из самых опасных — они способны обойти механизмы условного доступа, журналы и многофакторную аутентификацию и открыть доступ ко всем сервисам, которые завязаны на Entra ID: Azure, Exchange, SharePoint и прочие. Напоминанием служит инцидент Storm-0558 в 2023 году, когда компрометация ключа позволила злоумышленникам генерировать токены и получать доступ к почтовым системам облака. В отличие от прошлых случаев, нынешняя комбинация ошибок требовала лишь манипуляций с внутренними типами токенов и устаревшим API, что делало атаку проще в реализации в определенных условиях.

Обнаружение и быстрое реагирование Моллемы и Microsoft подчеркивают важность ускоренного вывода из эксплуатации унаследованных компонентов и постоянного аудита внутренних механизмов выдачи токенов. Экосистема облачных идентификаторов остается центром доверия для огромного числа организаций, и ошибка в ее основе несет риск массового воздействия — от компрометации данных до полного захвата управляемых сервисов.