Исследователи компании Silverfort обнаружили серьёзную уязвимость в Microsoft Entra ID, связанную со встроенной административной ролью, которая создавалась для управления ИИ-агентами. Проблема оказалась в том, что роль не имела строгого ограничения области применения, из-за чего её можно было использовать для захвата произвольных сервисных принципалов — объектов идентификации, которые применяются приложениями, автоматизированными инструментами и размещёнными службами для доступа к ресурсам.
Роль называется Agent ID Administrator и входит в состав платформы агентских идентификаций Microsoft — Agent Identity Platform. Эта платформа позволяет ИИ-агентам проходить аутентификацию, получать доступ к ресурсам и обнаруживать другие агенты в рамках тенанта. Agent ID Administrator задумывалась как инструмент для управления полным жизненным циклом идентификации ИИ-агентов: создания, изменения, удаления записей и так далее. Звучит достаточно узко и безопасно. На деле всё оказалось иначе.
Исследователь безопасности Silverfort Ноа Ариэль описала механику эксплуатации следующим образом: пользователь, которому назначена роль Agent ID Administrator, мог выбрать в качестве цели совершенно посторонний сервисный принципал — никак не связанный с ИИ-агентами. Затем он назначал себя владельцем этого принципала, добавлял собственные учётные данные и в итоге мог аутентифицироваться и действовать от его имени. Никаких дополнительных привилегий на входе не требовалось.
«Это полный захват сервисного принципала. В тенантах, где существуют высокопривилегированные сервисные принципалы, это превращается в путь к повышению привилегий», — сказала Ноа Ариэль.
Реальная опасность ситуации определяется тем, какими правами обладают сервисные принципалы в конкретном тенанте. Если среди них есть объекты с привилегированными ролями в каталоге или с высокоуровневыми разрешениями Graph app, атакующий получает над тенантом почти безграничный контроль. Это типичная цепочка: захват одной идентификации с нужными правами — и дальше всё открыто.
Корень проблемы Ариэль сформулировала чётко: «Агентские идентификации — часть более широкого перехода к неперсонифицированным идентификациям, созданным для эпохи ИИ-агентов. Когда разрешения ролей применяются поверх общих базовых конструкций без строгого ограничения области, доступ может распространяться за пределы изначально задуманного». Другими словами, новая роль строилась на тех же примитивах идентификации, что и всё остальное в Entra ID, и разграничить её область применения оказалось сложнее, чем предполагалось.
Silverfort также указывает, что «злоупотребление владением» — ownership abuse — это хорошо известный и весьма эффективный вектор атак. Сам по себе он не нов. Новым здесь стало то, что специально созданная роль для управления ИИ-агентами открыла к нему дорогу через механизм, который выглядел безобидно.
Microsoft уже выпустила патч, закрывающий эту уязвимость. Тем не менее организациям стоит обратить внимание на несколько практических мер защиты. Во-первых, нужно отслеживать использование ролей, связанных с владением сервисными принципалами или изменением их учётных данных. Во-вторых, настроить оповещения на любые изменения записей о владении принципалами. В-третьих, усилить защиту высокопривилегированных автоматизированных идентификаций. В-четвёртых, вести строгие журналы создания новых учётных данных для существующих принципалов.
История с Agent ID Administrator наглядно показывает, что появление новых типов идентификаций требует тщательной проверки того, как именно задаётся область действия ролей и как применяются разрешения. Использование существующих общих примитивов для построения новых категорий идентификаций — разумный технический выбор, но без аудита того, что именно наследуется от базовых конструкций, это создаёт ровно такие риски, которые и были обнаружены Silverfort.
Изображение носит иллюстративный характер
Роль называется Agent ID Administrator и входит в состав платформы агентских идентификаций Microsoft — Agent Identity Platform. Эта платформа позволяет ИИ-агентам проходить аутентификацию, получать доступ к ресурсам и обнаруживать другие агенты в рамках тенанта. Agent ID Administrator задумывалась как инструмент для управления полным жизненным циклом идентификации ИИ-агентов: создания, изменения, удаления записей и так далее. Звучит достаточно узко и безопасно. На деле всё оказалось иначе.
Исследователь безопасности Silverfort Ноа Ариэль описала механику эксплуатации следующим образом: пользователь, которому назначена роль Agent ID Administrator, мог выбрать в качестве цели совершенно посторонний сервисный принципал — никак не связанный с ИИ-агентами. Затем он назначал себя владельцем этого принципала, добавлял собственные учётные данные и в итоге мог аутентифицироваться и действовать от его имени. Никаких дополнительных привилегий на входе не требовалось.
«Это полный захват сервисного принципала. В тенантах, где существуют высокопривилегированные сервисные принципалы, это превращается в путь к повышению привилегий», — сказала Ноа Ариэль.
Реальная опасность ситуации определяется тем, какими правами обладают сервисные принципалы в конкретном тенанте. Если среди них есть объекты с привилегированными ролями в каталоге или с высокоуровневыми разрешениями Graph app, атакующий получает над тенантом почти безграничный контроль. Это типичная цепочка: захват одной идентификации с нужными правами — и дальше всё открыто.
Корень проблемы Ариэль сформулировала чётко: «Агентские идентификации — часть более широкого перехода к неперсонифицированным идентификациям, созданным для эпохи ИИ-агентов. Когда разрешения ролей применяются поверх общих базовых конструкций без строгого ограничения области, доступ может распространяться за пределы изначально задуманного». Другими словами, новая роль строилась на тех же примитивах идентификации, что и всё остальное в Entra ID, и разграничить её область применения оказалось сложнее, чем предполагалось.
Silverfort также указывает, что «злоупотребление владением» — ownership abuse — это хорошо известный и весьма эффективный вектор атак. Сам по себе он не нов. Новым здесь стало то, что специально созданная роль для управления ИИ-агентами открыла к нему дорогу через механизм, который выглядел безобидно.
Microsoft уже выпустила патч, закрывающий эту уязвимость. Тем не менее организациям стоит обратить внимание на несколько практических мер защиты. Во-первых, нужно отслеживать использование ролей, связанных с владением сервисными принципалами или изменением их учётных данных. Во-вторых, настроить оповещения на любые изменения записей о владении принципалами. В-третьих, усилить защиту высокопривилегированных автоматизированных идентификаций. В-четвёртых, вести строгие журналы создания новых учётных данных для существующих принципалов.
История с Agent ID Administrator наглядно показывает, что появление новых типов идентификаций требует тщательной проверки того, как именно задаётся область действия ролей и как применяются разрешения. Использование существующих общих примитивов для построения новых категорий идентификаций — разумный технический выбор, но без аудита того, что именно наследуется от базовых конструкций, это создаёт ровно такие риски, которые и были обнаружены Silverfort.
