安全研究人员近日披露,Microsoft Entra ID身份与访问管理系统中存在两处关键漏洞,可能让攻击者能够入侵几乎所有Azure云服务客户账户。该系统是Azure为企业提供的身份认证和权限管理核心服务,储存了客户用户身份、登录权限、应用接入和订阅管理等敏感信息。
此次漏洞由安全专家Dirk-jan Mollema发现,他深入研究了Entra ID的安全机制,并指出这些缺陷一旦被黑客利用,后果将极为严重,或引发大规模安全危机。微软已针对漏洞进行了修复,但事件也再次凸显云服务基础设施安全管理的重要性。