安全研究员 Dirk-jan Mollema 在微软 Azure 身份管理平台 Entra ID 中发现两个严重漏洞,攻击者可利用这些漏洞获得全局管理员权限,接管几乎所有 Entra ID 租户。该漏洞涉及遗留系统中的 Actor Tokens 和 Azure AD Graph API 验证缺陷,攻击者可从自己的测试租户请求令牌并冒充其他租户的任何用户。
Mollema 于 7 月 14 日向微软披露漏洞,微软在 7 月 17 日发布全球修复程序,并确认问题已于 7 月 23 日解决。微软表示调查期间未发现漏洞被滥用的证据,但专家指出这是身份提供商中最具影响力的漏洞类型,可能造成比 2023 年 Storm-0558 攻击更严重的后果。
Ars Technica
🍀在花频道 🍵茶馆 📮投稿
来自频道: @zaihuapd
⚠️ 评论区加载失败
可能原因:
- 浏览器广告拦截器阻止了 Telegram widget
- 网络连接问题
解决方法: