2024-03-21

Microsoft Entra ID 身分識別治理功能盤點：3 條潛在攻擊路徑與緩解措施

‍

2023 年 11 月，臺灣資安公司奧義智慧科技資安軟體工程師孫維崗 (Gary Sun) 在 2023 日本駭客年會 AVTokyo 上，發表了奧義智慧針對 Microsoft Entra ID 的研究成果：「從訪客帳戶到全域管理員權限：如何透過 Microsoft Entra ID P2 功能濫用 Azure IAM」（From Guest to Global Admin: Abuse Azure IAM with Microsoft Entra ID P2 Features）。

微軟在 2023 年底將 Azure AD 更名為 Microsoft Entra ID ，並擴展此身分和存取管理產品線。原先的 Azure AD 已是多數企業採用的身分識別與存取權管理（Identity and Access Management，下稱IAM）辦法，Microsoft Entra ID 更提供了以身分識別治理 (Identity Governance) 概念出發、更細緻的身分識別與管理功能，試圖以 Identity Governance 生命週期的自動化管理，解決現存身分與存取權落差等議題。

Microsoft Entra ID 在操作上有什麼注意事項？奧義智慧研究團隊發現： Microsoft Entra ID 新功能有「被濫用提權進行攻擊」的風險，由於目前仍少有相關討論，此篇先期研究將聚焦分析其潛在攻擊路徑 (Attack Path) 與緩解措施 (Mitigation)，在攻擊事件發生前未雨綢繆。

‍

閱讀本文，你可以知道：

Microsoft Entra ID 身分識別功能的潛在攻擊路徑與緩解措施。

Microsoft Entra ID 簡介

Microsoft Entra ID 是微軟新整合的雲端身份識別和訪問管理服務，提供更便捷的方式來管理員工、合作夥伴和客戶的身份。Microsoft Entra ID 可以與各種應用程式整合，包括微軟的 SaaS 應用程式、自訂的企業應用程式和其他雲端應用程式，同時也支援混合雲和多雲環境，讓組織得以整合地端 (on-premise) 帳號、應用程式和資源。

由於 Entra ID 涵蓋多種使用情境，其複雜性讓 IT 人員難以管理、不易根據業務情境分配適當的權限。根據微軟資訊安全團隊 2023 Microsoft State of Cloud Permissions 報告指出：僅有 5% 的權限有被實際使用，高達 50% 的身分可控制所有資源，此報告將這類身分比喻為超級管理員（Super Admin）。隨著時間演進和組織擴張，常會因為業務增加、人員流動等變數而賦予更多權限，在沒有定期審視哪些權限已經不再需要的狀況下，就會造成嚴重的存取權限落差（Permission Gap，如圖1）。

‍

隨著時間演進權限越來越大，造成嚴重的存取權限落差 — 圖1 隨著時間演進，權限越來越大，造成嚴重的存取權限落差。圖片來源：https://learn.microsoft.com/en-us/security/zero-trust/develop/overprivileged-permissions

‍

因此，利用可視化的工具盤點企業場域的帳號與權限至關重要。目前可盤點 Entra ID 的 IAM 工具有：AzureHound 與 StormSpotter，兩者皆可圖像化呈現 IAM，繪製出易懂的關聯圖讓使用者審視情況。

然而，AzureHound 與 StormSpotter 皆無法檢驗 Microsoft Entra ID 提供的身分管理方案、也無法用以發掘各功能潛在的風險，相關議題目前也鮮少研究。因此，奧義智慧研究團隊在盤點所有攻擊路徑後，發現 3 個可能被攻擊者利用提權進行攻擊的功能。

‍

Entra ID 新功能中潛在的 3 條攻擊路徑

Entra ID Identity Governance 從公司 IT 管理人員角度出發，提供更多的身分管理功能和控制權，用以保護和管理組織的身份驗證與訪問管理，如：條件式存取 (Conditional Access)、特權身分管理 (Privileged Identity Management, PIM) 等。值得注意的是，Entra ID 與 Azure 雖然共用 Identity 設定，但在管理上是分開的，意即：Azure 角色管理 Azure 資源、Entra ID 角色則負責管理身分驗證平台。

奧義智慧在盤點所有與 IAM 直接相關、且可作為攻擊路徑的 Entra ID 功能後，發現共 3 個功能具有潛在風險：權限管理 (Entitlement Management)、管理單位 (Administrative Unit) 和角色指派 (Eligible Assignments)。這 3 個功能皆屬角色型存取控制 (Role-based Access Control，RBAC)，管理方式是由角色定義權限、使用者被賦予的角色限定在特定範圍內，突顯了角色、資源與權限實為攻擊路徑上的重要節點。

‍

1. 權限管理 (Entitlement Management)

Entitlement Management 讓使用者可以自動化請求工作流程及權限分配，藉以管理身分生命週期。在跨部門合作時，權限分配情況複雜，不同部門的人之間往往不知道具體權限分配狀況。因此，較常見的情境是：IT 管理員在不清楚其他部門人手分配的情況下，將部分的權限指派權利交給該部門主管，由部門主管決定誰可以存取哪些資源（圖2）。

‍

‍

在此功能中，我們發現資源的類別可以是 Group，當攻擊者成功控制 Catalog 或 Access Package 中含有高權限的 Group 時，便可透過此路徑進行提權，將受感染帳號新增為 Resource Role 以控制高權限 Group（圖3）。

‍

‍

2. 管理單位 (Administrative Unit)

Administrative Unit 讓使用者可以限制 Entra ID 角色作用在特定範圍內，成為容易被管理者忽略的權限之一。如圖 4所示，使用者具有 Group Admins 角色時、可作用在特定 Group 範圍內，在 Entra ID 中的預設範圍是 Tenant，可以透過此功能框出特定範圍。因此，攻擊者可以新增成員到 Group 中以獲取 Group 的權限，對這些 Group 進行操作。

‍

‍

3. 角色指派 (Eligible Assignments)

Eligible Assignments 可以管理角色指派的生命週期，實現即時 (just-in-time, JIT) 權限分配。分配角色的當下，使用者沒有權限進行操作，必須在啟用後才可使用角色的權限（類似 Windows 上的「以管理者身分執行」或者是 Linux 上的 "sudo"）。身分啟用角色權限時，會根據設定需要通過相關的驗證，並且留下紀錄。

然而，角色權限啟用時的驗證並不是此功能的預設設定（圖5），因此攻擊者可以事先查詢角色的設定，評估是否有機會進行提權，一方面提高攻擊行為成功率，另一方面也避免留下不必要的足跡。

‍

角色可以設定啟用時需進行的驗證，當預設設定使用者無需額外驗證時，將容易被攻擊者攻擊 — 圖5 角色可以設定啟用時需進行哪些驗證，當預設設定使用者無需額外驗證時，攻擊者將有機可乘。

‍

攻擊路徑案例拆解：透過 Identity Governance 提權

奧義智慧研究員根據 Identity Governance 流程、描繪了駭客如何透過提權進行攻擊（圖6）。攻擊者初始控制具有 Catalog Owner 的帳號 (akua)，因為該 Catalog 包含具有全域管理員 (Global Admin) 權限的 Group (Dead End)，攻擊者便可新增 Resource Role，將此被入侵的帳號變成該 Group 的成員、藉此順利獲得全域管理員權限（詳細的高權限角色可參考下一段落）。

‍

圖6 駭客透過 Identity Governance 提權範例，奧義智慧 XCockpit 自動化威脅曝險管理平台可關聯出場域內潛在的攻擊路徑（示意圖內容僅為產品展示，所有數據及資料均與實際案例無關）。

針對 Entra ID 攻擊路徑的緩解措施

透過加強 API Permission 的權限管理，奧義智慧針對上述攻擊路徑提供了緩解措施，讓企業與各界使用者能超前部署。由於不同應用程式之間可以透過被授權的 API 權限進行操作、第三方和企業內部可藉此途徑存取權限，且這也是很常被攻擊者濫用的目標，盤點和確認 API Permission 是否合理便是基本卻有效的緩解方法之一。

‍