Исследователь кибербезопасности обнаружил критическую уязвимость в системе Microsoft Entra ID (ранее Azure Active Directory), которая потенциально позволяла злоумышленнику получить полный административный контроль над всеми клиентами сервиса по всему миру. Уязвимость, получившая идентификатор CVE-2025-55241, была связана с ошибкой валидации токенов, используемых для служебного взаимодействия внутри облачной инфраструктуры Microsoft. Всего один токен, полученный из тестовой или лабораторной среды, мог стать универсальным ключом доступа к любой организации, использующей этот сервис управления идентификацией.
Детали уязвимости
Суть уязвимости раскрыл независимый специалист по безопасности Дирк-Ян Моллема. По его данным, проблема заключалась в некорректной проверке границ действия так называемых Actor tokens (токены исполнителя). Эти токены применяются внутренними сервисами Microsoft для аутентификации и авторизации взаимодействия между различными компонентами платформы. Из-за ошибки в механизме проверки границ клиентов (tenant boundary checks) токен, выданный для одного клиента, ошибочно принимался системой как действительный для любого другого клиента по всему миру. Это присвоило уязвимости максимально возможный балл 10.0 по шкале CVSS 3.1, что классифицирует её как критическую.
Эксплуатация данной уязвимости не требовала от злоумышленника сложных атак с использованием нулевых дней (zero-day) или многоэтапных фишинговых кампаний. Единственным необходимым условием было получение валидного Actor token из любого клиента, что относительно просто сделать в случае доступа к тестовой или лабораторной среде. Обладая таким токеном, атакующий мог, не оставляя следов и не вызывая подозрений, получить права глобального администратора в любой целевой организации. Это открывало доступ к чтению профилей пользователей, членства в группах, разрешений приложений, ключей восстановления BitLocker и другой конфиденциальной информации. Более того, злоумышленник мог создавать новые учетные записи с правами глобального администратора или захватывать контроль над существующими, получая полную власть над инфраструктурой жертвы.
Инцидент с CVE-2025-55241 вскрыл фундаментальную слабость моделей централизованного управления доступом. На протяжении многих лет организации по всему миру полагались на представление о том, что поставщики услуг идентификации, такие как Microsoft, по своей природе заслуживают доверия. Однако данная уязвимость стала очередным в череде катастрофических инцидентов, затрагивающих «доверенные» платформы. Ранее аналогичные проблемы были выявлены в системах Okta, где произошла утечка данных через систему поддержки, и Cisco, где обнаружили скрытые бэкдоры. Коренная проблема заключается не только в наличии ошибок в коде, но и в самой концепции абсолютной власти, сосредоточенной в руках одного поставщика или компонента системы. Пока один элемент инфраструктуры обладает возможностью предоставлять или отзывать доступ в глобальном масштабе, катастрофические сбои остаются неизбежными.
В качестве потенциального решения эксперты предлагают рассмотреть альтернативные, децентрализованные архитектуры безопасности, известные как authorityless security (безвластная безопасность). В таких системах ни одна сущность не обладает полной властью. Вместо этого проверка подлинности и авторизация требуют распределенного консенсуса между множеством независимых узлов. Криптографические фрагменты ключей никогда не собираются в одном месте, оставаясь математически защищенными даже в случае компрометации отдельных узлов. Безвластные архитектуры обещают будущее, в котором уязвимости, подобные CVE-2025-55241, нельзя будет использовать для получения тотального доступа. Даже если ошибка будет обнаружена в одной части системы, злоумышленники не смогут использовать её в одностороннем порядке.
Организациям и вендорам следует начать экспериментировать с пилотными проектами на основе распределенных систем идентификации, которые устраняют единые точки доверия. Переход к таким моделям является сложным, но необходимым шагом для построения более устойчивой кибербезопасности в эпоху облачных технологий, где последствия единой ошибки могут стать поистине глобальными. Уязвимость в Microsoft Entra ID служит ярким напоминанием о том, что слепая вера в централизованные системы может привести к катастрофическим последствиям для тысяч компаний по всему миру.
Ссылки
- https://nvd.nist.gov/vuln/detail/CVE-2025-55241
- https://www.cve.org/CVERecord?id=CVE-2025-55241
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-55241
- https://infosecwriteups.com/the-god-mode-vulnerability-that-should-kill-trust-microsoft-forever-f83b8fe6e909
