Silverfort の研究者は、Microsoft Entra ID で AI エージェントの ID 管理用に追加された Agent ID Administrator ロールが、本来想定された Blueprint や Agent Identity の枠を越えてテナント内ほぼ全ての Application Service Principal を改変できたと報告しました。所有者権限を奪取後にクライアントシークレットや証明書を発行すれば、対象アプリの権限を継承して認証可能だったとされます。
主なポイント
- 影響範囲: テナント内の任意の Service Principal の所有者を奪取し、認証情報を新規発行可能。Service Principal が高権限ロールや機微な API permission を持っていれば、その権限まで取得できた。
- 検証デモでは Agent ID Administrator から Global Administrator の乗っ取りに成功。Silverfort 調査で約 99% のテナントが少なくとも 1 つ以上の特権 Service Principal を保有している。
- 開示と修正: Silverfort は 2 月 24 日に発見、3 月 1 日に MSRC へ報告。Microsoft は 4 月 9 日にクラウド全体へ修正を展開し、現在は非エージェント Service Principal への所有権付与は Forbidden で拒否される。
- 利用者推奨: Service Principal の所有者変更や認証情報生成イベントの監視、特権 Service Principal の棚卸し、Agent ID 関連ロール割り当ての監査を継続する。
出典: Microsoft Patches Entra ID Role Flaw That Enabled Service Principal Takeover (The Hacker News)