微軟修補Entra ID權限漏洞,防止AI代理管理角色遭到濫用
漏洞重點說明
資安廠商Silverfort研究人員近日發布報告,揭露微軟身分管理服務Entra ID存在角色權限設計缺陷,問題出在「Agent ID Administrator」角色,可能被攻擊者利用來接管任意服務主體(service principal),進而新增憑證並取得身分控制權。
微軟修補行動
微軟已於4月完成對該漏洞的修補,並強調此角色本意是為AI代理設計,用以管理其運作,但權限過大導致安全風險,現已調整權限設定以防止濫用。
潛在風險與影響
- 攻擊者若能取得高權限服務主體,可進一步擴展攻擊範圍。
- 惡意軟體可能透過AI代理的權限,進行無人監控的後門操作。
- 跨租戶環境中,若未妥善管理角色權限,可能導致資源被接管。