Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Microsoft го поправа пропустот во улогата на Entra ID што овозможи преземање од страна на Service Principal

Објавено: 28.04.2026

Административна улога наменета за агенти базирани на вештачка интелигенција (AI) во Microsoft Entra ID можела да овозможи ескалација на привилегии и напади за преземање идентитет, според нови наоди од Silverfort.

Agent ID Administrator е привилегирана вградена улога воведена од Microsoft како дел од платформата за идентитет на агенти, со цел управување со сите аспекти од животниот циклус на идентитетот на AI агентите во рамки на еден tenant. Платформата им овозможува на AI агентите безбедно да се автентицираат, да пристапуваат до потребните ресурси, како и да откриваат други агенти.

Сепак, откриениот пропуст значел дека корисниците на кои им е доделена улогата Agent ID Administrator можеле да преземат произволни service principal-и, вклучувајќи и такви што не се поврзани со агенти. Тоа се постигнувало така што станувале сопственици (owners) на тие објекти, а потоа додавале сопствени креденцијали за да се автентицираат како тие.

„Ова претставува целосно преземање на service principal,“ изјави истражувачот за безбедност Noa Ariel. „Во средини каде што постојат service principal-и со високи привилегии, ова станува пат за ескалација на привилегии.“

Ова сопствеништво врз service principal практично му отвора можност на напаѓачот да дејствува во рамките на неговите постоечки дозволи. Доколку таргетираниот service principal има зголемени привилегии – особено привилегирани улоги во директориумот и високовлијателни Graph апликациски дозволи – тоа може да му даде на напаѓачот поширока контрола врз tenant-от.

По одговорното откривање (responsible disclosure) на 1 март 2026 година, Microsoft објави поправка во сите cloud средини за да го реши проблемот со пречекорување на опсегот на дозволи на 9 април. По оваа поправка, секој обид за доделување сопственост врз non-agent service principals преку улогата Agent ID Administrator сега е блокиран и резултира со порака „Forbidden“.

Silverfort истакна дека овој архитектонски проблем ја нагласува потребата од проверка на тоа како се дефинираат и применуваат улогите и дозволите, особено кога станува збор за заеднички компоненти за идентитет и нови типови идентитети кои се градат врз постоечки основи.

За да се намали ризикот, организациите се советуваат да го следат користењето на чувствителни улоги, особено оние поврзани со сопственост или промена на креденцијали кај service principal-и, да ги следат промените на сопственост, да ги заштитат привилегираните service principal-и и редовно да прават ревизија на креирањето на креденцијали.

„Agent идентитетите се дел од поширокиот премин кон не-човечки идентитети, создадени за ерата на AI агенти,“ истакна истражувачот Noa Ariel. „Кога дозволите на улогите се применуваат врз заеднички основи без строго ограничување на опсегот, пристапот може да се прошири надвор од првично предвиденото. Во овој случај, таа празнина доведе до поширок пристап, особено кога беа вклучени привилегирани service principal-и.“

Таа додаде дека вкупниот ризик зависи од состојбата на tenant-от, особено во однос на привилегираните service principal-и, каде злоупотребата на сопственост и понатаму претставува добро познат и сериозен нападен вектор.

Извори:

  • The Hacker News – Microsoft Patches Entra ID Role Flaw That Enabled Service Principal Takeover The Hacker News