Microsoft zakrpio Entra ID ulogu koja je mogla da proširi privilegije
Microsoft je zakrpio problem u Entra ID ulozi Agent ID Administrator, koja je bila namenjena upravljanju identitetima AI agenata, ali je imala širi domet nego što je trebalo. Istraživači iz Silverforta otkrili su da korisnici sa tom ulogom mogu da preuzmu vlasništvo nad service principal objektima koji nisu povezani sa agentima, dodaju kredencijale i autentifikuju se kao te aplikacije. U okruženjima gde service principal objekti imaju visoke dozvole ili osetljive API pristupe, takav propust mogao je da vodi ka ozbiljnom proširenju privilegija, pa čak i uticaju na ceo tenant. Microsoft je, prema tekstu, ispravku primenio u svim cloud okruženjima do 9. aprila 2026. godine i nije potrebna dodatna akcija korisnika za samu zakrpu.
Granica između AI agenata, aplikacija i service principal identiteta postaje sve važnija kako organizacije uvode agentic AI u postojeće identity sisteme. Ako nova uloga dobije pristup starim, moćnim identitetskim objektima, problem više nije samo u AI agentu, već u mogućnosti da se preko njega dođe do aplikacija koje već imaju poverenje i dozvole u tenant-u.
- Pregledati ko ima Agent ID Administrator ulogu u Microsoft Entra ID-u
- Proveriti vlasništvo nad service principal objektima i ukloniti nepotrebne vlasnike
- Identifikovati service principal objekte sa visokim privilegijama ili širokim API dozvolama
- Pratiti dodavanje novih client secrets i sertifikata na osetljivim aplikacionim identitetima
- Za AI agente definisati jasne granice pristupa i ne oslanjati se samo na naziv administrativne uloge