Giới bảo mật gọi đây là lỗi IAM tồi tệ nhất lịch sử Microsoft - vì sao?

[Chi Le]

Microsoft vừa vá CVE-2025-55241, một lỗ hổng nâng cao đặc quyền (EoP) được đánh giá điểm CVSS tối đa 10.0, ảnh hưởng đến Entra ID (trước đây là Azure Active Directory). Theo chuyên gia bảo mật Dirk-Jan Mollema của Outsider Security, lỗi xuất phát từ Azure AD Graph API dịch vụ sắp ngừng hoạt động nhưng vẫn được nhiều ứng dụng nội bộ của Microsoft sử dụng. Cốt lõi của vấn đề nằm ở các “mã thông báo Actor”, loại token chưa được ký và gần như không có kiểm soát truy cập. Chúng có thể bị chỉnh sửa để mạo...

Đọc bài gốc tại đây