警惕微软Entra ID风险:访客账户存在隐蔽的权限提升策略
💡
原文中文,约1700字,阅读约需4分钟。
📝
内容提要
微软Entra ID存在访客用户订阅权限漏洞,允许访客在受邀租户中创建和转移订阅,从而获取特权。攻击者可利用此漏洞进行未授权访问和权限提升,企业需加强访客控制和审计措施以降低安全风险。
🎯
关键要点
- 微软Entra ID存在访客用户订阅权限漏洞,允许访客在受邀租户中创建和转移订阅。
- 访客用户可在仅应拥有有限访问权限的环境中获取特权立足点。
- 攻击者可利用此漏洞进行未授权访问和权限提升,导致安全风险。
- 访客创建订阅的漏洞源于计费权限作用于计费账户而非Entra目录。
- 攻击者可通过创建Azure免费试用账户或入侵已有用户账户获取订阅所有权。
- 攻击者可实施通常受角色限制的操作,如列举高价值特权账户和修改安全策略。
- BeyondTrust研究人员已观察到攻击者滥用访客订阅创建功能的情况。
- 建议企业审计并清理冗余访客账户,强化访客控制,定期检测异常活动。
- 身份配置错误成为新型漏洞,企业需重新审视访客访问策略和订阅治理模型。
❓
延伸问答
微软Entra ID的访客账户存在哪些安全风险?
访客账户存在订阅权限漏洞,允许访客在受邀租户中创建和转移订阅,从而获取特权,导致未授权访问和权限提升的风险。
攻击者如何利用Entra ID的访客账户进行攻击?
攻击者可以通过创建Azure免费试用账户或入侵已有用户账户,获取订阅所有权并实施未授权操作。
企业应如何加强对访客账户的控制?
企业应审计并清理冗余访客账户,强化访客控制,定期检测异常活动,以降低安全风险。
访客账户的权限提升是如何发生的?
权限提升源于计费权限作用于计费账户而非Entra目录,访客用户可在源租户创建订阅并获得所有权。
BeyondTrust研究人员观察到的攻击行为是什么?
BeyondTrust研究人员观察到攻击者滥用访客订阅创建功能,超出Azure管理员的预期认知。
如何防止访客账户滥用订阅创建功能?
可以通过订阅策略阻止访客转移订阅,并定期监控Azure门户的安全警报和异常活动。
➡️
