# 深度解析 Azure AD 登录日志绕过:GraphGoblin 与长用户代理攻击 > 详解 2025 年发现的 GraphGoblin 与用户代理溢出两种 Azure AD 登录日志绕过技术,提供可落地的 KQL 检测方案与防御参数。 ## 元数据 - 路径: /posts/2026/03/20/azure-ad-sign-in-log-bypass-2025/ - 发布时间: 2026-03-20T11:03:32+08:00 - 分类: [security](/categories/security/) - 站点: https://blog.hotdry.top ## 正文 Azure Entra ID 登录日志是企业安全运营的核心数据源,SIEM 告警、威胁狩猎、入侵检测都依赖于此。安全研究员 Nyxgeek 于 2025 年发现了两种全新的登录日志绕过方法,攻击者可通过发送特殊构造的认证请求,在不留下任何登录痕迹的情况下获取有效令牌。这一发现意味着攻击者可以在管理员毫不知情的情况下完成凭证验证和令牌窃取,严重威胁依赖登录日志进行威胁检测的企业。 GraphGoblin 绕过技术的核心在于 scope 参数的特殊构造。攻击者在 OAuth2 ROPC(资源所有者密码凭证)流程的 scope 字段中重复写入有效值,例如将单一的 "openid" 重复 10,000 次形成 "openid openid openid …" 的超长字符串。该字符串通过了 scope 格式验证(因为每个单独的 scope 值都是合法的),但在写入数据库时溢出了 SQL 列长度限制,导致整条登录记录插入失败并被丢弃,而令牌仍然被正常返回给攻击者。 第二种绕过(文中以 Graph* 代替)更为直接,攻击者仅需在 HTTP 请求的 User-Agent 字段写入约 50,000 字符的超长字符串即可触发相同的日志溢出行为。两种技术的根本原因都是数据库字段长度验证不足——微软在设计日志写入逻辑时未充分考虑边界情况,导致超长输入引发 INSERT 操作失败,记录被静默丢弃而不产生任何告警。 从攻击面来看,任何使用 Azure Entra ID( 原 Azure AD)的组织都受到影响。攻击者仅需知道目标租户的 tenant ID 和一个有效的 Application ID 即可发起攻击,无需事先获取任何特权。这种无差别攻击使得密码喷洒、凭证填充等大规模攻击成为可能,且完全绕过基于登录日志的检测规则。值得注意的是,这两枚漏洞都能返回完整的访问令牌而非仅仅验证密码有效性,使攻击者可直接利用令牌调用 Microsoft Graph API。 对于已修复的漏洞,防御重心转向检测与监控。安全团队可在 Log Analytics 中执行 KQL 查询,对比 MicrosoftGraphActivityLogs 与 SignInLogs 的 SessionId 字段。若某 Graph 活动的 SessionId 在登录日志中无对应记录,则表明该认证请求可能绕过了日志记录。需注意此检测方案要求组织拥有 E5 许可证以启用 Graph 活动日志。 推荐的检测查询使用 leftanti 联接方式找出缺失的登录记录。第一个查询基于更细粒度的 SignInActivityId 与 UniqueTokenIdentifier 进行匹配,适用于减少误报场景;第二个查询基于 SessionId 进行宽匹配,适用于需要更宽松检测的场景。管理员应根据自身环境噪声水平选择合适的查询,并创建 Azure Monitor 告警规则实现自动化通知。 根本原因分析表明,微软在认证流程的日志模块缺乏充分的模糊测试与边界值测试。连续四年(2023 至 2025)发现四起登录日志绕过漏洞,且均涉及简单的参数溢出攻击,这暴露了安全开发流程中的系统性缺陷。建议企业不仅依赖微软的日志记录,还应启用额外的审计手段(如第三方 SIEM 集成、Azure AD 条件访问策略监控),并定期进行基于身份的威胁狩猎。 --- **参考资料** - TrustedSec: Full Disclosure: A Third and Fourth Azure Sign-In Log Bypass Found - CloudBrothers: Detect threats using Microsoft Graph activity logs - Part 2 ## 同分类近期文章 ### [微软终止VeraCrypt账户:平台封禁下的供应链安全警示](/posts/2026/04/09/microsoft-terminates-veracrypt-account-platform-lock-risk/) - 日期: 2026-04-09T00:26:24+08:00 - 分类: [security](/categories/security/) - 摘要: 从VeraCrypt开发者账户被终止事件,分析Windows代码签名的技术依赖、平台封禁风险与开发者应对策略。 ### [GPU TEE 远程认证协议在机密 AI 推理中的工程实现与安全边界验证](/posts/2026/04/08/gpu-tee-remote-attestation-confidential-ai-inference/) - 日期: 2026-04-08T23:06:18+08:00 - 分类: [security](/categories/security/) - 摘要: 深入解析 GPU 可信执行环境的远程认证流程,提供机密 AI 推理场景下的工程参数配置与安全边界验证清单。 ### [VeraCrypt 1.26.x 加密算法演进与跨平台安全加固深度解析](/posts/2026/04/08/veracrypt-1-26-encryption-algorithm-improvements/) - 日期: 2026-04-08T22:02:47+08:00 - 分类: [security](/categories/security/) - 摘要: 深度解析 VeraCrypt 最新版本的核心加密算法改进、跨平台兼容性与安全加固工程实践,涵盖 Argon2id、BLAKE2s 及内存保护机制。 ### [AAA 游戏二进制混淆:自研加壳工具的工程现实与虚拟化保护参数](/posts/2026/04/08/binary-obfuscation-in-aaa-games/) - 日期: 2026-04-08T20:26:50+08:00 - 分类: [security](/categories/security/) - 摘要: 解析 AAA 级游戏二进制保护中的自研加壳工具、代码虚拟化性能开销与反调试实现的技术选型。 ### [将传统白帽黑客习惯引入氛围编程:构建 AI 生成代码的防御纵深](/posts/2026/04/08/old-hacker-habits-for-safer-vibecoding/) - 日期: 2026-04-08T20:03:42+08:00 - 分类: [security](/categories/security/) - 摘要: 将传统白帽黑客的安全实践应用于氛围编程,通过隔离环境、密钥管理与代码审计,为 AI 生成代码建立防御纵深,提供可落地的工程参数与清单。