Uma função administrativa criada para agentes de inteligência artificial (IA) no Microsoft Entra ID pode abrir caminho para escalonamento de privilégios e ataques de tomada de identidade, segundo novas descobertas da Silverfort.
O Agent ID Administrator é uma função privilegiada integrada, apresentada pela Microsoft como parte de sua plataforma de identidade para agentes.
Ela foi criada para gerenciar todas as etapas do ciclo de vida da identidade de um agente de IA em um tenant.
A plataforma permite que esses agentes se autentiquem com segurança, acessem os recursos necessários e também descubram outros agentes.
No entanto, a falha identificada pela plataforma de segurança de identidade mostrou que usuários com a função Agent ID Administrator poderiam assumir o controle de service principals arbitrários, inclusive de identidades que não estão ligadas a agentes, ao se tornarem proprietários e, depois, adicionarem suas próprias credenciais para se autenticar como esse principal.
“Isso é a tomada completa de um service principal”, disse a pesquisadora de segurança Noa Ariel.
“Em tenants onde existem service principals com alto privilégio, isso se torna uma via de escalonamento de privilégios.”
Essa posse de um service principal, na prática, abre a porta para que um atacante opere dentro do escopo das permissões já existentes.
Se o service principal alvo tiver permissões elevadas, especialmente funções privilegiadas de diretório e permissões de alto impacto no Graph, ele pode dar ao atacante um controle muito mais amplo sobre o tenant.
Após a divulgação responsável em 1º de março de 2026, a Microsoft lançou um patch em todos os ambientes de nuvem para corrigir o excesso de alcance em 9 de abril.
Depois da correção, qualquer tentativa de atribuir a propriedade de service principals que não sejam de agentes usando a função Agent ID Administrator passou a ser bloqueada, com exibição da mensagem de erro Forbidden.
A Silverfort destacou que o problema arquitetural mostra a importância de validar como as funções são delimitadas e como as permissões são aplicadas, especialmente quando se trata de componentes de identidade compartilhados e de novos tipos de identidade construídos sobre as bases de primitivas já existentes.
Para reduzir a ameaça associada a esse risco, as organizações são orientadas a monitorar o uso de funções sensíveis, especialmente as relacionadas à propriedade de service principals ou à alteração de credenciais, acompanhar mudanças de propriedade desses principais, proteger service principals privilegiados e auditar a criação de credenciais nesses objetos.
“As identidades de agentes fazem parte de uma mudança mais ampla em direção às identidades não humanas, criadas para a era dos agentes de IA”, observou Ariel.
“Quando as permissões de funções são aplicadas sobre bases compartilhadas sem um escopo rígido, o acesso pode ir além do que foi originalmente planejado.
Neste caso, essa lacuna levou a um acesso mais amplo, especialmente quando havia service principals privilegiados envolvidos.”
“Além disso, o risco geral é influenciado pela postura do tenant, especialmente no que diz respeito a service principals privilegiados, em que o abuso de propriedade continua sendo uma via de ataque bem conhecida e de grande impacto.”
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...