Source: https://www.darkreading.com/cloud-security/critical-azure-entra-id-flaw-microsoft-iam-issues
🛡 概要
MicrosoftのEntra IDにおける重大な認証脆弱性が発見され、世界中のほぼすべてのEntra IDテナントが影響を受ける可能性があることが明らかとなりました。この脆弱性は、CVE-2025-55241として追跡され、CVSSスコアは当初9.0でしたが、現在は最大10.0に引き上げられています。重要な点は、発見された脆弱性が悪用されていないという証拠があるものの、Azureの認証スタックの重要なコンポーネントに対するセキュリティの欠如を浮き彫りにしています。
🔍 技術詳細
脆弱性は、Azure AD Graph APIにおける認証の失敗から生じています。このAPIは、Azureのクラウドリソースへのアクセスを提供するREST APIであり、Entra IDにも関連しています。研究者のDirk-jan Mollemaによれば、Actorトークンと呼ばれる未文書のトークンがこの脆弱性の悪用を可能にします。これらのトークンはアクセス制御ポリシーの対象外であり、特に権限昇格に利用される恐れがあります。Actorトークンは、24時間の有効期限内に取り消すことができず、条件付きアクセスポリシーを回避し、可視性が極めて限定されます。
⚠ 影響
この脆弱性が悪用されると、攻撃者は他のテナントに対してもアクセスを得ることが可能であり、特にグローバル管理者として認証することができてしまいます。Mollemaは、テナントIDとユーザーの識別子を知っていれば、他のテナントのデータにアクセスできることを確認しました。このセキュリティの穴は、ブートフォース攻撃にも脆弱であり、攻撃者がログを残さずに権限を不正に取得する可能性があります。
🛠 対策
Microsoftはこの脆弱性に対処するために、Azure AD Graph APIの退役を計画していますが、依然として多くのアプリケーションがこのAPIを使用しています。今後の対策として、認証フローの見直しとともに、Actorトークンの使用を廃止することが求められます。特に、署名されたトークンの発行を徹底し、ログの生成を強化することで、監査能力を向上させる必要があります。セキュリティの強化は、ユーザーとデータの保護に不可欠です。
