Entra IDの範囲設定が不適切な「Agent ID Administrator」ロールにより、ユーザーが無関係なサービスプリンシパルの所有権を取得でき、権限昇格とテナント全体への影響が可能になった。
MicrosoftのEntra IDエコシステム内のAIエージェント向けに設計された管理ロールは、権限昇格とテナントテイクオーバー攻撃を可能にする可能性があった。これは、エージェント関連以上のオブジェクトに対する権限を持っていたためである。
Silverfortの研究者は、ブループリントやエージェント識別情報などのエージェント関連オブジェクトにスコープされたMicrosoftの「Agent ID Administrator」ロールが割り当てられたユーザーが、テナント全体の無関係なサービスプリンシパルの所有権を取得できることを発見した。その後、これらのユーザーは認証情報をアタッチしてそれらのアプリケーション(無関連なサービス)として認証でき、エンタープライズ環境内のアプリ間通信を操作する可能性がある。
「修正前、Agent ID Administratorロールは、エージェント関連の識別情報を超えてサービスプリンシパルの所有権の割り当てを許可し、Application Administratorなどのロールと同様の機能を実質的に有効にしていましたが、エージェントのユースケースに特化してスコープされていませんでした」とSilverfortの研究者がブログポストで述べている。
Microsoftは全クラウド環境でこの問題にパッチを当てたと報告されており、ロールが非エージェントサービスプリンシパルを変更するのをブロックしている。クラウド大手企業はCSOのコメント要求にすぐに応答しなかった。
エージェントのみ、一時的にはすべてを意味していた
この問題は、新しいエージェント識別情報セキュリティ提供内でのスコープ適用の失敗だった。
Agent Identity Platformを通じてAIエージェントを運用化するMicrosoftの推進の一環として導入された、Agent ID Administratorロールは、Entra ID内で自律エージェントに独自の統制された識別情報を与えるための取り組みである。
このロールはAIエージェントに関連する新しく導入されたオブジェクトセット内で動作するよう設計された。しかし、エージェント識別情報は最終的にアプリケーションと同じプリミティブ(つまり、サービスプリンシパル)の上に構築されるため、「エージェント」と「非エージェント」オブジェクト間の境界が適切に定義されていなかった。
このアーキテクチャ上の混乱により、ロール保有者はテナント全体の幅広いサービスプリンシパルの所有者として自分自身を追加できる可能性があった。しかし、同じアクションはアプリケーションオブジェクトではブロックされており、欠陥がより広い識別情報モデルではなく、サービスプリンシパルレイヤーに固有であることを示唆している。
アプリケーションオブジェクトとサービスプリンシパルは、Microsoft Entra IDにアプリケーションが登録されるたびに作成される2つの関連オブジェクトである。
「アプリケーションオブジェクトはアプリのグローバル定義として機能し、その構成を説明します」と研究者は説明した。「サービスプリンシパルはテナント内の識別情報としてアプリを表し、認証し、ロールと権限を割り当てられ、リソースにアクセスするオブジェクトです。」
定義の欠如により権限の拡張が可能になり、ロールがApplication Administratorのようなより高い権限を持つロールの機能を模倣できるようになった。研究者は、これがデフォルトで発生し、何もアラームをトリガーしなかったと指摘した。
プリンシパルの所有権から完全なテイクオーバーへ
サービスプリンシパルの所有権を取得すると、攻撃者はクライアントシークレットや証明書などの新しい認証情報を生成し、これを使用して侵害されたアプリケーションとして認証できる。アプリケーションが昇格したディレクトリロールまたは機密API権限を保有している場合、攻撃者はそれらの権限を継承できる。
「影響は、ターゲットされたサービスプリンシパルに割り当てられた権限に左右されます」と研究者は述べた。「サービスプリンシパルが広く使用されているか、昇格した権限を保有している環境では、これは大幅な昇格につながる可能性があります。テナントの態勢は、さらに影響を与える可能性があります。たとえば、広くコンセントされたアプリケーションまたは許容的な構成の場合です。」
研究者は、Agent ID Administratorはかなり新しく、まだ広く使用されていないが、サービスプリンシパルベースの昇格パスはそうであると指摘した。「約99%のテナントが少なくとも1つの特権付きサービスプリンシパル(必ずしもエージェント関連ではない)を持っています」と彼らは述べた。そのうち、半分以上がテナントあたり平均約100のエージェント識別情報を使用しており、「現実的なリスク」を作成している。
Microsoft Security Response Center(MSRC)は、2026年4月9日までに内部修正が完全にロールアウトされ、ユーザーのさらなるアクションは不要であることをSilverfortに伝えた。研究者は、ユーザーが同様のパターンを特定して対応するのを支援するために、いくつかの推奨事項と検出ステップを引き続き公開した。
翻訳元: https://www.csoonline.com/article/4163708/microsoft-patched-an-agent-only-role-that-was-not.html
