Административная роль, предназначенная для ИИ-агентов в экосистеме Entra ID от Microsoft, могла привести к атакам с повышением привилегий и захватом арендатора, поскольку она имела права на объекты, не связанные с агентами.
Исследователи из Silverfort обнаружили, что пользователи, которым была назначена роль Microsoft «Администратор идентификаторов агентов» (Agent ID Administrator), ограниченная объектами, связанными с агентами, такими как шаблоны (blueprints) и идентификаторы агентов, могли завладеть не связанными с ними субъектами-службами (service principals) в пределах всего арендатора. Затем эти пользователи могли прикрепить учетные данные и проходить аутентификацию от имени этих приложений (несвязанных служб), чтобы потенциально манипулировать коммуникацией между приложениями внутри корпоративных сред.
«До исправления роль Администратора идентификаторов агентов позволяла назначать владение субъектами-службами, выходящими за рамки идентификаторов агентов, фактически предоставляя возможности, аналогичные ролям вроде Администратора приложений, но без конкретной привязки к сценариям использования агентов», — заявили исследователи Silverfort в посте в блоге.
По сообщениям, Microsoft устранила проблему во всех облачных средах, заблокировав роли возможность изменять субъекты-службы, не связанные с агентами. Облачный гигант не сразу ответил на запрос CSO о комментариях.
Изначально «только для агентов» означало всё
Проблема заключалась в сбое принудительного соблюдения области действия в новом предложении по обеспечению безопасности идентификаторов агентов.
Роль Администратора идентификаторов агентов, представленная в рамках усилий Microsoft по операционализации ИИ-агентов через свою Платформу идентификации агентов (Agent Identity Platform), призвана предоставить автономным агентам их собственные управляемые идентификаторы внутри Entra ID.
Роль была разработана для работы с недавно представленным набором объектов, связанных с ИИ-агентами. Однако, поскольку идентификаторы агентов в конечном итоге построены на тех же примитивах, что и приложения, а именно на субъектах-службах, граница между объектами «агент» и «не агент» не была должным образом определена.
Эта архитектурная путаница могла позволить владельцам роли добавить себя в качестве владельцев широкого спектра субъектов-служб по всему арендатору. Но то же действие было заблокировано для объектов приложений, что указывает на то, что сбой был специфичен для уровня субъектов-служб, а не для более широкой модели идентификации.
Объект приложения и субъект-служба — это два связанных объекта, создаваемых каждый раз, когда приложение регистрируется в Microsoft Entra ID.
«Объект приложения служит глобальным определением приложения и описывает его конфигурацию», — пояснили исследователи. «Субъект-служба представляет приложение как идентификатор в арендаторе и является объектом, который проходит аутентификацию, которому назначаются роли и разрешения, и который получает доступ к ресурсам».
Отсутствие определения позволило расширить привилегии, дав роли возможность имитировать возможности роли с более высокими привилегиями, такой как Администратор приложений. Исследователи отметили, что это происходило по умолчанию и не вызывало никаких тревог.
От владения субъектом до полного захвата
Получив владение субъектом-службой, злоумышленник мог сгенерировать новые учетные данные, такие как секреты клиента или сертификаты, и использовать их для аутентификации от имени скомпрометированного приложения. Если приложение имело повышенные роли каталога или конфиденциальные разрешения API, злоумышленники могли унаследовать эти привилегии.
«Последствия зависят от привилегий, назначенных целевому субъекту-службе», — заявили исследователи. «В средах, где субъекты-службы широко используются или обладают повышенными разрешениями, это может привести к значительному повышению привилегий. Состояние арендатора может дополнительно повлиять на последствия, например, в случаях широко согласованных приложений или разрешительных конфигураций».
Исследователи отметили, что роль Администратора идентификаторов агентов довольно новая и пока не получила широкого распространения, но путь эскалации через субъекты-службы существует. «Около 99% арендаторов имеют по крайней мере один привилегированный субъект-служба (не обязательно связанный с агентами)», — сказали они. Из них более половины используют идентификаторы агентов, в среднем около 100 на арендатор, что создает «реальный риск».
Центр реагирования на инциденты безопасности Microsoft (MSRC) сообщил Silverfort, что внутреннее исправление было полностью развернуто к 9 апреля 2026 года и не требует дальнейших действий пользователей. Исследователи тем не менее опубликовали несколько рекомендаций, а также шаги по обнаружению, чтобы помочь пользователям выявлять и реагировать на подобные схемы.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Shweta Sharma
