Azure AD Graph APIは、2025年8月31日をもって正式に廃止され、廃止されました。
これは、攻撃者がアクセス制御サービス(ACS)によって発行されたトークンを使用して、企業のテナント内のグローバル管理者を含むあらゆるユーザーになりすますことができることが調査で明らかになったことを受けての措置です。
この脆弱性を悪用すると、「サービス間」接続を介して、あるいはAWSインフラストラクチャサーバーへの事前の権限を必要とせずに共有APIマネージャーインスタンスからアクセスできるようになる可能性があります。
特に、Microsoftはこの問題の修正に取り組んでいます。
コメント