一、小白剧场

小白：东哥，我快看吐了。这书比砖头还硬，字都认识，连一起就跟天书似的。

大东： 哈哈哈，小白你别逗我。你不是说要成为新世纪的数字安全专家吗？怎么，才看个开头就喊停了？

小白： 我哪儿是喊停啊，我是想找点活生生的例子来理解。书上全是枯燥的概念，什么“加密”“解密”“防火墙”，听得我头都晕了。

大东： 活生生的例子啊……那可太多了。最近的这两个，一个比一个劲爆，你保证听了就忘不了。

小白： 真的？快说快说！是跟电影里黑客帝国那种一样吗？一敲键盘，全世界就乱了？

大东： 差不多吧。电影里有点夸张，但现实中的危害一点也不小。我跟你讲两个最近发生的大事件，听完你再去看书，保证茅塞顿开。

小白： 好嘞！我搬好小板凳，准备好瓜子，大东哥，请开始你的表演！

二、话说事件

大东： 第一个事儿，主角是微软。你天天用微软的Office，登录你的账号，那些身份验证、权限管理，都是由一个叫Entra ID的服务在管。以前它叫Azure AD。

小白： 微软的这个服务我知道！就跟我们公司的那个账户管理系统差不多吧？管理我们能用哪些软件，访问哪些文件。

大东： 对，就是那个意思。而且这个系统管的，是全球数百万家企业的数字身份。它就是这些企业的大门，谁能进来，能去哪个房间，都是它说了算。

小白： 听起来很重要啊，那它出什么问题了？

大东： 问题可大了去了！一个叫Outsider Security的安全公司，他们的一位研究员发现了一个惊天大漏洞。这个漏洞的组合，理论上可以接管全球任何一个企业租户的最高权限。

小白： 嘶——（倒吸一口凉气）“接管任何一个”？这不就是说，黑客能随随便便变成任何一家公司的“全局管理员”吗？

大东： 完全正确。而且这个漏洞更可怕的地方在于，它利用了两种技术。一种是未公开的“行动者令牌”，另一种是已废弃的Azure AD Graph API中的一个漏洞。

小白： 这两种技术听起来好复杂。能简单点说吗？

大东： 简单说就是，这个“行动者令牌”是微软留下的一个“幽灵令牌”。它本来是给内部服务之间调用的，方便它们互相“扮演”对方。但它有一个致命缺陷，就是不需要签名。

小白： 不需要签名？那不就是说，黑客可以自己伪造这个令牌，而且还没法追查？

大东： 没错，就是这个意思。黑客可以自己造一个假令牌，然后把它发给那个已经废弃的API。这个API本来应该拒绝这个令牌，但它却“认”了。

小白： 然后呢？

大东： 认了之后，攻击者就能跨越租户边界。他先伪造一个普通用户的身份，进入目标公司。接着，他通过这个权限，去找到目标公司里的全局管理员是谁。

小白： 我好像有点明白了。找到全局管理员之后，是不是就能用同样的方法，再伪造一个管理员的令牌？

大东： 聪明！就是这样。最后一步，攻击者再伪造一个管理员的令牌。这样，他就拥有了全局管理员的最高权限。

小白： 就像是拥有了整个公司的“万能钥匙”？那他们能做什么？

大东： 几乎所有事。比如访问所有敏感数据，修改配置，重置密码，添加新的管理员，甚至可以悄无声息地植入后门。更可怕的是，在整个权限提升的过程中，受害者的日志中不会留下任何记录。

小白： 这太吓人了！那第二个事件呢？跟这个有关系吗？

大东： 第二个事件跟微软的这个漏洞没直接关系，但都指向同一个主题：供应链安全。这次的主角是欧洲的几大机场：伦敦希思罗、柏林和布鲁塞尔。

小白： 机场也出事了？是黑客攻击了机场的控制中心吗？

大东： 不是直接攻击机场，而是攻击了它们共同的“软肋”——一个叫柯林斯宇航的航空系统供应商。这家公司的MUSE软件系统是多家大型航空公司进行旅客值机和登机流程的核心工具。

小白： 所以说，黑客攻击了这家公司，导致所有用他们系统的机场都跟着瘫痪了？

大东： 对，就是一损俱损。黑客精准地打击了这个供应链上的一个点，结果引爆了整个链条。这就像是推倒了一张多米诺骨牌，连锁反应。

小白： 怪不得新闻说，旅客们面临无尽的长队，航班取消，系统全部瘫痪了。这可比电影里的场面更真实，更让人无助。

大东： 没错。这些事件都在告诉我们，在这个万物互联的时代，效率提升的同时，风险也变得更加集中了。

小白：确实，科技是把双刃剑。

三、大话始末

大东： 刚才我们聊的这两个事件，其实都揭示了AI安全和数字安全时代的几个重要趋势。

小白： 趋势？是说这种攻击会越来越常见吗？

大东： 是的。而且攻击的手段会越来越隐蔽，目标也越来越精准。咱们现在看的这个微软漏洞，就是利用了历史遗留的“技术债务”。

小白： 技术债务？

大东： 简单理解，就是以前为了方便或者技术水平所限，留下的一些不完美的设计。这些设计在当时可能不是问题，但在今天复杂的网络环境中，就成了致命的弱点。历史上有很多类似的例子。比如2017年的WannaCry勒索病毒，利用的就是美国国家安全局（NSA）泄露的“永恒之蓝”工具，攻击了微软Windows系统的漏洞。

小白： 我听过这个！当时很多电脑屏幕上都出现了红色的恐吓信，文件都被加密了，特别吓人。

大东： 对。还有2020年针对SolarWinds软件的供应链攻击。黑客攻击了这家软件公司的更新服务器，在他们的软件更新里植入了恶意代码。结果，全球成千上万家使用了SolarWinds软件的政府机构和企业都成了受害者。

小白： 这不就跟欧洲机场那个事件差不多吗？都是攻击了供应链，而不是直接攻击终端客户。

大东： 没错，都是利用了供应链的薄弱环节。还有前几年Log4j的漏洞，那是一个开源组件的漏洞，被广泛应用于各种互联网应用。漏洞被发现后，全球的IT团队都陷入了紧急修复的“大作战”。

小白： 哇，原来这种事一直都在发生。那我们应该怎么预防呢？这次微软的漏洞，是不是只要修复了就万事大吉了？

大东： 修复了当然是好事，但并不能一劳永逸。预防工作需要多方面配合。首先，对于企业来说，要定期进行安全审计，发现并修补潜在的漏洞。这次微软的漏洞，之所以能被发现，就是因为研究员勇于尝试，去测试那些看似已经废弃的API。企业也需要有这种“假设已经被攻破”的意识，不断进行渗透测试和红队演练。

小白： 渗透测试？就是模拟黑客攻击吗？

大东： 对。还有，要加强多因素认证（MFA）的实施。尽管这次的漏洞能绕过MFA，但在很多其他攻击场景下，MFA依然是第一道重要的防线。

小白：明白了

大东： 另外，还要加强日志监控和异常行为分析。尽管这次权限提升的过程没有记录，但最后的恶意操作一定会有痕迹。如果企业能及时发现这些异常，就能在损害扩大前采取行动。对于我们普通人来说，也要保持警惕。不要随意点击来历不明的链接，不要下载非官方渠道的软件，要定期更新系统和应用，这些都是最基本的安全习惯。

小白： 听你这么一说，感觉网络安全就像一场永无止境的猫鼠游戏。黑客在不断寻找新的漏洞，安全专家在不断修补和防御。

大东： 你这个比喻很形象。这就是数字安全的常态。随着AI技术的发展，未来的攻击会更加自动化、智能化。防御也必须跟上，甚至是提前布局。就像微软这次，他们也意识到了“行动者令牌”的风险，本来就在计划移除。但漏洞还是被发现了。这说明，在庞大而复杂的系统中，“技术债务”和遗留组件带来的风险，将是未来很长一段时间内，所有巨头都需要面对的挑战。

四、小白内心说

小白：听东哥聊完这两个事儿，感觉自己之前对网络安全的理解太肤浅了。我总以为黑客攻击都是很遥远的事情，跟电影里演的一样。没想到，现实中的风险比电影里更细思恐极。那个微软的漏洞，就像是给全世界所有公司的门都配了一把万能钥匙，而且这把钥匙还是无形的。欧洲机场的混乱，也让我看到了什么叫“蝴蝶效应”，一个微小的环节出问题，就能让整个系统陷入瘫痪。

来源: CCF科普