Исследователь обнаружил «режима бога» в облаках Microsoft

leer en español

Microsoft Entra ID Azure AD CVE-2025-55241 облако уязвимость
Исследователь обнаружил «режима бога» в облаках Microsoft
Microsoft Entra ID Azure AD CVE-2025-55241 облако уязвимость

Всего один токен даёт любому хакеру безграничную власть.

image

Недавно опубликованное исследование показало, что в инфраструктуре Microsoft была обнаружена уязвимость CVE-2025-55241, предоставляющая злоумышленникам безграничный доступ (так называемый «режим бога») ко всем корпоративным облачным тенантам компании.

Ошибка затрагивала механизм проверки Actor-токенов в Microsoft Entra ID (бывший Azure AD) и позволяла превратить служебный маркер низкого уровня в универсальный ключ для глобального администрирования. Проблему выявил исследователь Дирк-Ян Моллема, отметивший, что любая организация — от крупной корпорации до небольшой стартап-команды — рисковала оказаться под угрозой полной компрометации.

Actor-токены применяются в сервисных взаимодействиях внутри облака Microsoft. Из-за отсутствия корректных проверок границ токены, выданные одной учётной записи, могли быть приняты за действительные в чужом окружении. Для эксплуатации требовалось лишь завладеть любым тестовым или лабораторным аккаунтом.

После этого злоумышленник получал возможность просматривать профили пользователей, списки групп, права приложений и даже ключи восстановления BitLocker. Более того, тот же самый маркер позволял создавать новых глобальных администраторов или захватывать уже существующих, полностью подчиняя себе инфраструктуру выбранного клиента. При этом атака не требовала сложных техник: ни внедрения неизвестных эксплойтов, ни многоступенчатых фишинговых цепочек.

Критичность проблемы подтверждает максимальная оценка CVSS 3.1 — 10 из 10. Ошибка демонстрирует уязвимость самой модели централизованного управления доступом, где одна точка отказа способна поставить под угрозу всех пользователей. Подобные инциденты уже происходили ранее, когда в доверенных платформах выявлялись дыры — например, масштабная утечка у Okta или обнаруженный скрытый бэкдор в решениях Cisco. Все они показывают, что зависимость от единого поставщика и абсолютного доверия к его инфраструктуре несёт системный риск.

Альтернативой централизованным схемам становятся архитектуры без единоличной власти, где подтверждение личности и выдача прав строятся на распределённом консенсусе. В таких системах ключи никогда не собираются полностью в одной точке: они делятся на криптографические фрагменты, которые остаются защищёнными даже при компрометации отдельных узлов.

Это исключает возможность того, что единственный сбой или ошибка в коде даст атакующему глобальные полномочия. Для бизнеса переход к подобным решениям может стать шагом к устойчивой модели, в которой больше нет «режима бога», доступного через один уязвимый токен.