ثغرة أمنية حرجة: ضعف في Entra ID يسمح بالسيطرة على جميع المستأجرين عالميًا
2025-09-18
يسمح ثغرة أمنية حرجة في Microsoft Entra ID للمهاجمين بالتحكم تقريبًا في جميع المستأجرين على مستوى العالم (باستثناء عمليات نشر السحابة الوطنية). تتيح رموز "Actor" غير الموثقة وعيوب في واجهة برمجة تطبيقات Azure AD Graph الوصول الكامل. يمكن للمهاجمين استخدام القوة الغاشمة أو الاستفادة من علاقات الثقة B2B للحصول على netId أحد المستخدمين، والتنكر كمسؤولين، والحصول على تحكم كامل، والوصول إلى البيانات الحساسة، وتعديل الإعدادات. لا توجد متطلبات مسبقة ضرورية. قامت مايكروسوفت بإصلاح الثغرة الأمنية (CVE-2025-55241)، مما يبرز المخاطر المتأصلة في تصميم رمز Actor.
التكنولوجيا