完整披露：發現第三與第四個 Azure 登入日誌繞過漏洞

背景

資安研究員 Nyxgeek 近期揭露了他在過去三年內發現的第三與第四個 Azure Entra ID 登入日誌繞過漏洞。這些漏洞允許攻擊者在不觸發系統日誌紀錄的情況下，驗證帳戶密碼甚至獲取有效的存取權杖，使管理員難以偵測入侵行為。雖然微軟已針對這些被命名為 GraphGoblin 與 GraphGhost 的漏洞進行修補，但這類持續出現的驗證缺陷再次引發了技術社群對微軟雲端安全架構可靠性的質疑。

社群觀點

在 Hacker News 的討論中，社群成員對於微軟 Azure 的安全性表現出了明顯的疲態與不信任感。許多留言者將此技術揭露與近期媒體對微軟雲端服務的負面評價聯繫起來，特別是針對微軟在處理聯邦政府資安需求時的表現。有觀點指出，儘管單一的日誌繞過漏洞看似不如直接的權限提升漏洞來得嚴重，但資安防禦是一個整體的體系，任何能夠隱匿攻擊跡象的手段，都是構成成功且不被察覺的入侵行動中不可或缺的一環。

討論中也出現了對微軟技術文件與系統品質的激烈批評。部分留言者引用了近期政府資安專家的評論，直指微軟雲端架構的複雜性與文件品質令人沮喪，甚至被形容為極其混亂。社群普遍認為，微軟在資安事件的反應上往往處於被動狀態，許多重大的入侵事件並非由微軟主動發現，而是由第一線的系統管理員透過觀察異常的郵件日誌才揭發真相。這種「外部發現、內部修補」的模式，讓技術社群對微軟宣稱的安全性保障感到懷疑。

此外，社群也反思了這類漏洞在實際攻擊鏈中的角色。雖然有人認為繞過日誌紀錄的重要性相對較低，但反對者則強調，在現代企業環境中，日誌是偵測大規模密碼噴灑攻擊與異常登入的唯一防線。如果攻擊者能讓登入行為變得「隱形」，那麼現有的監控與警報機制將完全失效。這種對基礎設施安全性的侵蝕，被視為微軟在追求功能擴張時，忽視了最基本的安全透明度與一致性。

延伸閱讀

在討論過程中，社群成員分享了幾份關鍵的背景資料，包括 ProPublica 與 Ars Technica 針對微軟雲端安全性的深度報導，內容涉及聯邦資安專家對其系統的評價。另外，美國網路安全暨設施安全局（CISA）發布的一份關於國家級駭客組織入侵微軟並滲透國務院的調查報告也多次被提及，該報告詳細記錄了微軟在防禦體系上的疏漏，以及基層管理員如何發現這些連微軟自身都未察覺的入侵行為。