MinhSec
Writer
Microsoft vừa vá CVE-2025-55241, một lỗ hổng nâng cao đặc quyền (EoP) được đánh giá điểm CVSS tối đa 10.0, ảnh hưởng đến Entra ID (trước đây là Azure Active Directory). Theo chuyên gia bảo mật Dirk-Jan Mollema của Outsider Security, lỗi xuất phát từ Azure AD Graph API dịch vụ sắp ngừng hoạt động nhưng vẫn được nhiều ứng dụng nội bộ của Microsoft sử dụng.
Cốt lõi của vấn đề nằm ở các “mã thông báo Actor”, loại token chưa được ký và gần như không có kiểm soát truy cập. Chúng có thể bị chỉnh sửa để mạo danh người dùng trong các tenant khác, kể cả quản trị viên toàn cầu, mà không để lại bất kỳ bản ghi nhật ký nào. Chỉ cần biết ID tenant và netID của người dùng, kẻ tấn công có thể truy cập dữ liệu trên toàn hệ thống.
Mollema phát hiện lỗ hổng khi chuẩn bị bài thuyết trình tại Black Hat USA 2025 và DEF CON 33. Ông nhấn mạnh rằng bản chất “không kiểm soát” của mã thông báo Actor khiến tác động của lỗi trở nên nghiêm trọng, cho phép di chuyển ngang giữa các tenant Azure và Entra ID với rủi ro gần như không bị phát hiện.
Microsoft cho biết đã triển khai bản vá, thay đổi logic xác thực và bổ sung biện pháp ngăn chặn việc yêu cầu mã thông báo Actor trong Azure AD Graph. Công ty khẳng định chưa phát hiện bằng chứng lỗ hổng bị khai thác ngoài đời thực và cam kết tiếp tục củng cố các tiêu chuẩn nhận dạng trong khuôn khổ Sáng kiến Tương lai An toàn (SFI).
Tuy vậy, các chuyên gia an ninh mạng, bao gồm Heather Adkins (Google), coi đây là một trong những lỗ hổng IAM nghiêm trọng nhất từng xuất hiện, đặt ra câu hỏi về tính minh bạch trong các giao thức nội bộ của Microsoft. Nhiều người cho rằng sự cố này là hệ quả của các quyết định bảo mật từ những ngày đầu phát triển Azure, cho thấy các thành phần nền tảng như Entra ID cần được đánh giá và hiện đại hóa toàn diện hơn.
Cốt lõi của vấn đề nằm ở các “mã thông báo Actor”, loại token chưa được ký và gần như không có kiểm soát truy cập. Chúng có thể bị chỉnh sửa để mạo danh người dùng trong các tenant khác, kể cả quản trị viên toàn cầu, mà không để lại bất kỳ bản ghi nhật ký nào. Chỉ cần biết ID tenant và netID của người dùng, kẻ tấn công có thể truy cập dữ liệu trên toàn hệ thống.
Mollema phát hiện lỗ hổng khi chuẩn bị bài thuyết trình tại Black Hat USA 2025 và DEF CON 33. Ông nhấn mạnh rằng bản chất “không kiểm soát” của mã thông báo Actor khiến tác động của lỗi trở nên nghiêm trọng, cho phép di chuyển ngang giữa các tenant Azure và Entra ID với rủi ro gần như không bị phát hiện.
Microsoft phản ứng nhanh nhưng giới an ninh vẫn lo ngại
Microsoft cho biết đã triển khai bản vá, thay đổi logic xác thực và bổ sung biện pháp ngăn chặn việc yêu cầu mã thông báo Actor trong Azure AD Graph. Công ty khẳng định chưa phát hiện bằng chứng lỗ hổng bị khai thác ngoài đời thực và cam kết tiếp tục củng cố các tiêu chuẩn nhận dạng trong khuôn khổ Sáng kiến Tương lai An toàn (SFI).
Tuy vậy, các chuyên gia an ninh mạng, bao gồm Heather Adkins (Google), coi đây là một trong những lỗ hổng IAM nghiêm trọng nhất từng xuất hiện, đặt ra câu hỏi về tính minh bạch trong các giao thức nội bộ của Microsoft. Nhiều người cho rằng sự cố này là hệ quả của các quyết định bảo mật từ những ngày đầu phát triển Azure, cho thấy các thành phần nền tảng như Entra ID cần được đánh giá và hiện đại hóa toàn diện hơn.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview