技术说明
Microsoft Entra ID 中用于管理 AI 代理身份的管理角色被错误配置,允许权限提升和潜在的租户接管。'Agent ID Administrator' 角色本应限定于代理相关对象(如蓝图和代理身份),但却可以获取整个租户中不相关服务主体的所有权。分配到此角色的用户实际上可以获得类似 Application Administrator 角色的能力,但没有专门限定于代理用例的范围。Microsoft 在 Silverfort 研究人员披露后已修复此漏洞。
攻击途径
拥有 Agent ID Administrator 角色的攻击者可以分配超出代理相关身份范围的服务主体所有权。通过获取高权限服务主体的所有权,攻击者可以将权限提升至租户范围的 Application Administrator 能力,从而实现横向移动、持久化和潜在的租户入侵。该漏洞利用了企业身份系统中代理 AI 身份部署的增长,其中代理范围和租户范围权限之间的边界执行不充分。
受影响系统
使用 Agent ID Administrator 角色管理代理 AI 身份和蓝图的 Microsoft Entra ID(前身为 Azure AD)租户。部署与 Entra ID 集成的 AI 代理的组织受到影响。
缓解措施
Microsoft 已修复此漏洞。组织应验证 Agent ID Administrator 角色现在是否正确限定于仅代理相关对象。审查分配到此角色的所有用户的审计日志,并检查暴露窗口期间的服务主体所有权变更。随着代理身份的激增,为所有代理相关管理角色实施最小权限范围,并定期审计跨租户权限边界。将此视为审查非人类和代理身份更广泛身份治理的信号——许多 IAM 平台并非为高速自主行为者而设计。