기술 설명
Microsoft의 Entra Agent Identity Platform의 범위 초과 취약점으로 인해 Agent ID Administrator 역할을 가진 계정이 임의의 서비스 주체를 탈취하고 전체 테넌트에서 권한을 상향식으로 확대할 수 있었습니다. 이 취약점은 표준 애플리케이션 및 서비스 주체 기본 요소를 기반으로 하는 에이전트 ID가 적절한 범위 경계가 부족했기 때문에 발생했습니다. Agent ID Administrator 역할을 가진 공격자는 자신을 높은 권한의 서비스 주체의 소유자로 할당하고 새로운 자격 증명을 생성한 후 해당 애플리케이션으로 인증할 수 있었습니다. 손상된 서비스 주체가 상향식 디렉터리 역할이나 Graph API 권한을 보유한 경우, 이는 전체 테넌트 손상으로 직결되는 직접적인 경로를 제공했습니다.
공격 경로
Agent ID Administrator 역할을 가진 공격자는 소유자 업데이트 작업을 사용하여 에이전트 ID와 무관한 서비스 주체를 포함한 테넌트의 모든 서비스 주체의 소유권을 수정합니다. 소유권이 확립되면 공격자는 대상 서비스 주체에 대한 새로운 자격 증명을 생성하고 해당 애플리케이션으로 인증하여 모든 권한과 디렉터리 역할을 상속받습니다.
영향받는 시스템
Agent Identity Platform 미리보기 기능을 사용 중인 Microsoft Entra ID 테넌트. 상향식 디렉터리 역할(Global Administrator, Cloud Application Administrator, Privileged Role Administrator) 또는 높은 영향력의 Graph API 권한을 보유한 서비스 주체가 있는 조직의 위험도가 가장 높습니다.
완화 방안
Microsoft는 2026년 4월에 Agent ID Administrator 역할이 비에이전트 서비스 주체의 소유자를 관리하지 못하도록 하는 수정 사항을 배포했습니다. 조직은 서비스 주체에 소유자 또는 자격 증명을 추가하는 것과 관련된 의심스러운 이벤트의 로그를 감사해야 합니다. Silverfort에서 제공하는 Azure CLI 스크립트를 사용하여 권한 있는 디렉터리 역할을 가진 서비스 주체를 식별하고 적절한 모니터링이 이루어지고 있는지 확인하세요. Agent ID Administrator 역할의 할당을 검토하고 최소화하세요.