微软修复严重影响企业安全的Microsoft Entra ID安全漏洞 黑客可以控制任何租户

网络安全研究人员 Dirk-jan Mollema 此前在 Microsoft Entra ID (即原来的 AAD) 中发现安全漏洞，黑客利用漏洞可以轻松控制任何 Microsoft Entra ID 目录 (租户)。

Entra ID 是微软提供的基于云端的身份和访问管理解决方案，该系统基于目录并为几乎所有微软服务提供身份验证，这也是很多企业使用的关键服务。

研究人员将这个漏洞描述为微软身份验证基础设施的上帝模式 (原本上帝模式指的是 Windows 系统的隐藏选项，该选项可以访问系统任意服务)，借助 Entra ID 的这个上帝模式可以访问任何租户的身份验证令牌。

如果黑客成功利用漏洞则可以获取任意用户的身份验证令牌并控制敏感账户、创建新的管理员账户、访问企业敏感数据等等，研究人员透露漏洞的根本原因是 Entra ID 还支持旧版身份验证技术。

研究人员最初在 2025 年 7 月发现漏洞并立即报告给微软，微软随后确认漏洞并在 3 天内向全球部署修复程序，在 2025 年 8 月份微软推出额外的保护措施用来加强身份验证。

考虑到大多数企业已经不受这个问题影响，所以研究人员这才公布这次漏洞的消息，不过由于漏洞已经被修复，所以这时候即便其他黑客找到细节也无法继续利用。

另外基于安全考虑微软正在停用 Entra ID 支持的旧版身份验证技术，这也是导致安全问题的根源，所以微软选择停用而不是继续修复漏洞为某些企业提供兼容性支持。