Propust u Microsoft Entra Agent ID dozvoli preuzimanje service principal računa
Microsoft je ispravio kritičnu ranjivost u Entra Agent ID Administrator ulozi koja je dozvoljavala preuzimanje service principal računa.
Šta se desilo?
Otkrivena je ozbiljna ranjivost u Microsoft Entra Agent Identity Platform koja je omogućavala napadačima da zloupotreble novouvvedenu Agent ID Administrator ulogu. Kroz ovu ranjivost, napadač sa ovom dozvolom mogao je preuzeti vlasništvo nad bilo kojim service principal računom u sistemu i pristupiti njegovim privilegijama, što je otvarao put ka kompletnom kompromitovanju okruženja. Microsoft je izdao isravku u aprilu 2026. godine.
Koga pogađa?
Potencijalne žrtve su organizacije koje koriste Microsoft Azure i Entra Identity Platform, posebno one sa service principal računima koji imaju povišene dozvole i administracijske uloge. Rizik je viši u okruženjima gde više korisnika poseduje Agent ID Administrator dozvolu, kao i u institucijama sa privilegiranim service principals-ima.
Kako se zaštititi?
- Hitno ažurirajte sve Azure i Entra okruženje na najnoviju verziju sa ispravljenom ranjivošću
- Pregledate i ograničite broj korisnika koji poseduju Agent ID Administrator dozvolu samo na neophodne osobe
- Identifikujte sve service principals sa privilegiranim direktorijumskim ulogama korišćenjem Azure CLI upita i Graph API-ja
- Omogućite detaljno logovanje i monitoring promjena vlasništva i pristupnih kredencijala service principals-a
- Sprovesti redovit audit sigurnosnih postavki nehumanog identiteta u sistemu
- Tretirati service principals sa visokim dozvolama kao kritičnu infrastrukturu sa pojačanom zaštitom
Tehnički detalji
Ranjivost je posljedica raskoraka između predviđenih dozvola Agent ID Administrator uloge i stvarne scope-a dozvola koju joj je Microsoft dao. Aunque je uloga trebala biti ograničena samo na upravljanje agent-povezanim objektima, zbog načina kako su agent identiteti izgrađeni na standardnim aplikacijskim i service principal primitivima, napadač je mogao da modifikuje vlasnictvo nad bilo kojim service principal-om. Jednom kada se vlasništvo preuzme, napadač može generisati nove kredencijale i autentifikovati se kao taj ciljni aplikacijski račun. Ako je compromitirani service principal sadržavao elevacijske direktorijumske uloge ili visoko-impaktne Graph API dozvole, direktan je bio put ka kompletnom kompromitovanju okruženja.
Preporuka Sajber Radara
Sve organizacije koje koriste Microsoft Entra trebaju odmah da primene dostupnu isravku i proveravaju svoje okruženje za privilegirane service principals. Redovit audit vlasništva i dozvola nehumanog identiteta je esencijalan za sprečavanje sličnih napada.