Исследователи компании Silverfort обнаружили уязвимость в облачной системе управления идентичностями Microsoft Entra ID, которая могла приводить к эскалации привилегий и захвату критически важных учетных записей. Проблема затронула новую привилегированную роль Agent ID Administrator, предназначенную для управления идентичностями AI-агентов.
Что такое Agent ID Administrator и платформа agent identity
Microsoft внедрила платформу agent identity для поддержки AI-агентов в Microsoft Entra ID. Эти агенты — это не человек-пользователь, а программный компонент или сервис, который должен безопасно аутентифицироваться, получать доступ к ресурсам и взаимодействовать с другими агентами в пределах аренды (tenant).
Роль Agent ID Administrator была создана как встроенная привилегированная роль, отвечающая за полный жизненный цикл идентичности AI-агентов: создание, обновление, управление ключами и другими учетными данными. По замыслу, ее полномочия должны были распространяться только на «агентские» идентичности.
Суть уязвимости: от прав администратора агентов к полному захвату service principal
По данным Silverfort, из-за ошибки в определении области действия роли (scope) пользователи с правами Agent ID Administrator могли выходить за пределы своих изначальных полномочий. Роль позволяла захватывать произвольные service principal — специальные объектные учетные записи, которые используют приложения и сервисы для доступа к ресурсам в облаке.
Исследователь по безопасности Ноа Ариэль отметил, что администратор агентов мог назначить себя владельцем любого service principal, в том числе не связанного с AI-агентами, а затем добавить собственные учетные данные для аутентификации от его имени. Это по сути означало полный захват service principal, включая все его текущие права в Microsoft Entra ID.
Если такой service principal обладал повышенными привилегиями — например, входил в привилегированные роли каталога или имел высокоимпактные разрешения Microsoft Graph, — злоумышленник получал канал для эскалации привилегий и дальнейшего расширения контроля над ареной.
Почему захват service principal так опасен для организации
В современных облачных средах service principal часто используются для автоматизации, CI/CD, интеграций с SaaS, резервного копирования и работы критически важных бизнес-приложений. Нередко им назначаются более широкие права, чем отдельным пользователям, ради удобства и стабильной работы процессов.
Компрометация такого объекта открывает злоумышленнику доступ к тем же данным и операциям, что и легитимному приложению: от чтения и изменения конфигурации каталога до работы с почтой, календарями, файлами и секретами в хранилищах. В сочетании с правами на управление другими объектами идентичности это превращается в устойчивый вектор для латерального перемещения и закрепления в инфраструктуре.
Реакция Microsoft и устранение уязвимости
Silverfort ответственно раскрыла уязвимость Microsoft 1 марта 2026 года. После анализа проблемы Microsoft развернула исправление во всех облачных средах 9 апреля 2026 года. Патч устранил «переразмеренный» scope роли Agent ID Administrator.
После обновления любая попытка назначить владение неагентским service principal, используя роль Agent ID Administrator, теперь блокируется. Администратор получает ответ с ошибкой 403 Forbidden, что предотвращает захват нецелевых объектов идентичности.
Уроки для архитектуры ролей и управления нефизическими идентичностями
Silverfort подчеркивает, что выявленная проблема демонстрирует важность тщательной валидации областей действия ролей и разрешений, особенно когда новые типы идентичностей (такие как AI-агенты) строятся на базе существующих механизмов, например service principal.
Идентичности агентов — часть более широкой тенденции к росту числа нечеловеческих идентичностей в облаке: аккаунтов сервисов, микросервисов, контейнеров, роботов и автоматизированных систем. Когда права для таких ролей накладываются на общие компоненты без строгого разделения, любой просчет в области действия может привести к непреднамеренному расширению доступа.
Дополнительным фактором риска остается текущая «поза безопасности» аренды: наличие высокопривилегированных service principal, слабый контроль над их владельцами и учетными данными делает подобные уязвимости особенно опасными.
Рекомендации по снижению рисков в Microsoft Entra ID
Организациям, активно использующим Microsoft Entra ID и сервисные учетные записи, имеет смысл внедрить дополнительные меры контроля и мониторинга. В частности, эксперты рекомендуют:
1. Мониторить использование чувствительных ролей. Особое внимание следует уделять действиям, связанным с владением service principal и изменением их учетных данных. Нетипичные операции с такими ролями должны вызывать автоматические оповещения.
2. Отслеживать смену владельцев service principal. Любое назначение новых владельцев, особенно не из числа ограниченного круга администраторов, — значимый индикатор потенциального злоупотребления правами.
3. Защитить привилегированные service principal. Минимизировать набор прав по принципу наименьших привилегий, регулярно ревизовать назначенные роли и разрешения, использовать защищенные хранилища для секретов и ключей.
4. Аудировать создание и обновление учетных данных service principal. Журналы аутентификации и изменений (логирование в Entra ID и SIEM) должны позволять быстро выявлять подозрительные операции с ключами и сертификатами.
Переход к эпохе AI-агентов и массовому использованию нефизических идентичностей делает управление ролями и правами в облаке критически важной задачей. Инцидент с ролью Agent ID Administrator служит наглядным напоминанием: любая новая функциональность, основанная на существующих примитивах идентичности, должна проходить тщательную проверку на корректное разграничение полномочий. Организациям стоит не только полагаться на обновления поставщиков, но и выстраивать собственный многоуровневый контроль доступа и постоянный мониторинг активности в Microsoft Entra ID.
