마이크로소프트의 클라우드 기반 아이덴티티 및 액세스 관리(IAM) 서비스인 Entra ID에서 발견된 취약점이 전 세계 모든 회사의 Entra ID 테넌트에 대한 완전한 접근을 허용할 수 있었습니다. 이 취약점은 "액터 토큰"이라는 문서화되지 않은 토큰과 Azure AD Graph API의 취약점(CVE-2025-55241)이 결합된 결과였습니다. 이 취약점을 악용하는 위협 요소는 로그에 본인의 행동을 제외하고는 어떠한 흔적도 남기지 않고 매우 민감한 데이터에 접근할 수 있었습니다.
Entra ID는 단일 로그인, 다중 요소 인증, 앱 및 리소스에 대한 보안 제어를 제공하는 서비스로, 이전에는 Azure Active Directory(Azure AD)라고 알려져 있었습니다. 이 서비스는 단일 조직을 대표하는 전용 Entra ID 인스턴스를 통해 온프레미스와 클라우드 기반의 모든 앱에 대한 안전한 접근을 관리합니다. 이에는 Microsoft 365 서비스, Salesforce, Dropbox 등의 맞춤형 및 제3자 SaaS 제품, Google, Amazon, SAP의 클라우드 앱 등이 포함될 수 있습니다.
Offensive Security의 창립자인 Dirk-jan Mollema는 토큰 유효성 검사 결함을 발견하여 모든 Entra ID 테넌트에서 글로벌 관리자 권한을 얻었습니다. 이 권한 수준은 전체 테넌트를 탈취하고 Entra ID를 통해 인증된 모든 서비스에 대한 문을 열 수 있게 합니다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.