技术说明
Microsoft 的 Agent ID Administrator 角色作为 Entra ID 代理身份平台的一部分引入,存在范围越权漏洞,允许具有该角色的用户接管超出代理相关身份范围的任意 service principal。攻击者可以成为高权限 service principal 的所有者,添加凭据,并以这些 principal 身份进行身份验证,如果存在特权目录角色或高影响 Graph 权限,则有效获得租户级控制权。
攻击途径
被分配 Agent ID Administrator 角色的攻击者将所有权分配给目标 service principal(包括非代理 principal),然后添加自己的凭据以该 principal 身份进行身份验证。如果 service principal 持有提升的权限——如特权目录角色或高影响 Microsoft Graph 应用权限——攻击者将获得更广泛的租户控制权。该缺陷源于在现有 service principal 原语之上构建新身份类型(AI 代理)时的不当范围界定。
受影响系统
使用随代理身份平台引入的 Agent ID Administrator 角色的 Microsoft Entra ID 租户。拥有高权限 service principal 的租户面临最大的权限提升风险。
缓解措施
Microsoft 在 Silverfort 于 2026年3月1日负责任披露后,于 2026年4月9日在所有云环境中修补了该漏洞。修补后,使用 Agent ID Administrator 角色尝试分配非代理 service principal 所有权的操作将被阻止并显示"Forbidden"错误。组织应监控与 service principal 所有权或凭据更改相关的敏感角色使用情况,跟踪 service principal 所有权更改,保护特权 service principal,并审计 service principal 上的凭据创建。