微软内部应用数据泄露:Entra OAuth配置漏洞遭恶意利用
talkingdev • 2025-08-10
9408 views
Eye Security研究团队近期发现微软Entra OAuth系统存在关键配置错误,导致攻击者可滥用该漏洞访问微软内部应用程序的敏感数据。这一发现揭示了企业级身份认证系统在权限管理方面的潜在风险,攻击者通过精心构造的OAuth授权请求,绕过安全机制获取本应受保护的资源访问权限。该漏洞影响范围涉及微软多个内部业务系统,可能包含用户凭证、业务数据等高价值信息。目前研究团队已通过标准漏洞披露流程通知微软安全响应中心,但尚未公开具体技术细节以防止漏洞被大规模利用。此事件再次凸显云原生架构下权限边界管理的重要性,预计将推动企业对OAuth/OpenID Connect等联邦身份协议的审计浪潮。