أصدرت تقارير أمنية أن خللاً خطيراً في عملية التحقق من الرموز المميزة في خدمة Microsoft Entra ID (المعروفة سابقاً بـ Azure Active Directory) كان بإمكانه أن يمكّن المهاجمين من انتحال هوية أي مستخدم، بمن فيهم مدراء النظام (Global Administrators)، عبر أي مستأجر. وسُجّلت الثغرة تحت المعرّف CVE-2025-55241 وحصلت على أعلى تصنيف خطورة CVSS 10.0. وصنّفتها مايكروسوفت كخلل تصعيد امتيازات في Entra، وأعلنت أنها قامت بمعالجتها في 17 يوليو 2025 دون حاجة لإجراء من جانب العملاء، مع عدم وجود دلائل على استغلالها في البرية.
سبب الخلل ونطاق التأثير التقني
ينبع الخلل من تلازم عنصرين: استخدام رموز ممثل الخدمة إلى الخدمة (S2S actor tokens) الصادرة عن خدمة التحكم بالوصول (ACS)، وعيب فادح في واجهة برمجة التطبيقات القديمة Azure AD Graph API (graph.windows.net) التي فشلت في التحقق بشكل كافٍ من المستأجر المصدر للرمز. هذا النقص في التحقق سمح باستخدام تلك الرموز للوصول عبر المستأجرات. وبما أن هذه الرموز تخضع لسياسات الوصول الشرطي (Conditional Access) لدى مايكروسوفت، فقد أمكن للمهاجم الذي يصل إلى واجهة Graph إجراء تعديلات غير مصرح بها. والأسوأ أن غياب تسجيلات مستوى واجهة برمجة التطبيقات للـ Graph API يعني أن الاستغلال قد يجري دون ترك أثر واضح في السجلات، مما يسمح بالوصول إلى معلومات المستخدمين، وتفاصيل المجموعات والأدوار، وإعدادات المستأجر، وصلاحيات التطبيقات، ومعلومات الأجهزة ومفاتيح BitLocker المتزامنة مع Entra ID.
تداعيات عملية وخطر اختراق المستأجر بالكامل
انتحال صفة Global Admin قد يتيح للمهاجم إنشاء حسابات جديدة، ومنح نفسه أذونات إضافية، أو استخراج بيانات حساسة، مما يؤدي إلى تسلّط كامل على المستأجر والوصول إلى أي خدمة تستخدم Entra ID للمصادقة مثل SharePoint Online وExchange Online. وإذا ما تم توسيع الحقوق إلى اشتراكات Azure، تصبح كل الموارد المستضافة قابلة للاختراق. وصف باحثون الحادثة بأنها حالة “وصول بامتيازات عالية” تحدث عندما يحصل تطبيق أو خدمة على وصول واسع لمحتوى العملاء دون تقديم إثبات لسياق المستخدم. وذكر الباحث الذي اكتشف الثغرة، Dirk-jan Mollema، أنه اكتشف الخلل في 14 يوليو وأنه كان من الممكن أن يؤثر على كل مستأجرات Entra ID في العالم باستثناء المستودعات السحابية الوطنية.
سياق أوسع: عيوب سحابية وممارسات استغلال متكررة
تتزامن هذه الحادثة مع تقاعد واجهة Azure AD Graph رسمياً في 31 أغسطس 2025 ودعوة مايكروسوفت للانتقال إلى Microsoft Graph، إذ كانت الشركة قد حذّرت مسبقاً من توقف الاعتماد على واجهة Azure AD Graph. وحذّر محلّلون مثل Mitiga من أن استغلال CVE-2025-55241 يمكن أن يتجاوز آليات المصادقة متعددة العوامل (MFA) وسياسات الوصول الشرطي والتدقيق، تاركاً أثرًا ضئيلاً أو معدوماً. كما تأتي هذه الحادثة في ظل سلسلة من الثغرات وطرق الهجوم المتعلقة بالسحابة التي كُشف عنها أخيراً، من بينها أخطاء في إعداد OAuth، تسريبات بيانات إعدادات التطبيقات، استغلال ميزات مثل Known Folder Move في OneDrive، وهجمات SSRF للحصول على بيانات اعتماد مؤقتة عبر Instance Metadata Service في بيئات سحابية أخرى مثل AWS، إضافة إلى تقنيات تستغل موصلات API المشتركة لتمكين الوصول عابر المستأجرات.
