技術的な説明
Entra IDエージェント識別プラットフォームの一部として導入されたMicrosoftのAgent ID Administratorロールは、スコープ超過脆弱性に苦しんでおり、そのロールを持つユーザーがエージェント関連の識別を超えた任意のサービスプリンシパルを乗っ取ることができました。攻撃者は高権限のサービスプリンシパルの所有者になり、認証情報を追加して、それらのプリンシパルとして認証することができ、特権ディレクトリロールまたは高影響度のGraphアクセス許可が存在する場合、事実上テナント全体の制御を獲得できました。
攻撃経路
Agent ID Administratorロールが割り当てられた攻撃者は、ターゲットサービスプリンシパル(エージェント以外のプリンシパルを含む)に所有権を割り当て、その後、そのプリンシパルとして認証するために独自の認証情報を追加します。サービスプリンシパルが特権ディレクトリロールや高影響度のMicrosoft Graph アプリケーション権限などの昇格されたアクセス許可を保持している場合、攻撃者はより広いテナント制御を獲得します。この欠陥は、新しい識別タイプ(AIエージェント)が既存のサービスプリンシパルプリミティブの上に構築されたときの不適切なスコーピングに由来していました。
影響を受けるシステム
エージェント識別プラットフォームで導入されたAgent ID Administratorロールを使用するMicrosoft Entra IDテナント。高権限のサービスプリンシパルを持つテナントは権限昇格の最大のリスクにさらされています。
緩和策
Microsoftは2026年4月9日にすべてのクラウド環境全体で脆弱性にパッチを当てました。Silverfortによる責任ある開示を受けて2026年3月1日に行われました。パッチ後、Agent ID Administratorロールを使用して非エージェントサービスプリンシパルへの所有権を割り当てようとするとブロックされ、「Forbidden」エラーが返されます。組織は、サービスプリンシパルの所有権または認証情報の変更に関連する機密ロールの使用を監視し、サービスプリンシパルの所有権の変更を追跡し、特権サービスプリンシパルをセキュアにし、サービスプリンシパルの認証情報作成を監査する必要があります。