警惕微软 Entra ID 风险：访客账户存在隐蔽的权限提升策略

微软Entra ID的警惕订阅管理存在访问控制缺陷，允许访客用户在受邀租户中创建和转移订阅 ，微软同时保留对这些订阅的险访限提完全所有权
。访客用户只需具备在源租户创建订阅的客账权限，以及受邀成为外部租户访客的户存身份即可实施此操作。这种隐蔽的隐蔽权限提升策略使访客用户能够在仅应拥有有限访问权限的环境中获取特权立足点 。

多数企业基于临时性和有限访问特性将访客账户视为低风险，升策但这一设计行为却为攻击者打开了已知的香港云服务器警惕攻击路径和资源租户内的横向移动通道。威胁行为者可能借此在防御方的微软Entra ID中实现未授权侦察和持久化驻留 ，并在特定场景下推进权限提升
。险访限提

访客创建订阅的客账漏洞利用源于微软计费权限（企业协议或微软客户协议）作用于计费账户而非Entra目录这一特性。安全团队通常关注Entra目录角色（如全局管理员）或Azure RBAC角色（如所有者），户存却往往忽视计费角色的隐蔽存在 。

当B2B访客用户受邀加入资源租户时，升策他们通过源租户的警惕身份验证进行访问
。免费模板这种节省成本的机制导致目标租户无法强制执行多因素认证（MFA）等验证控制。若访客在其源租户拥有有效计费角色，便可成为Azure内部的订阅所有者 。

攻击者甚至可以利用按需付费的Azure租户（数分钟即可创建）中的访客账户实施攻击。默认情况下
，包括访客在内的任何用户均可邀请外部用户加入目录 ，这意味着攻击者可利用被入侵账户邀请具有计费权限的用户进入目标环境。亿华云

(1) 攻击者通过以下方式获取具有创建订阅权限的计费角色用户控制权 ：

(2) 获取目标Entra租户的访客用户邀请（默认任何用户均可发起邀请）

(3) 登录Azure门户并进入完全控制的源目录

(4) 导航至"订阅>添加"功能

(5) 切换至"高级"选项卡 ，将防御方目录设为目标目录

(6) 创建订阅（该订阅将出现在防御方租户的根管理组下）

(7) 攻击者自动获得该订阅的"所有者"RBAC角色

攻击者获取其他组织租户内的订阅所有者权限后 ，可实施以下通常受角色限制的操作：

BeyondTrust研究人员已观测到攻击者实际滥用访客订阅创建功能的情况。该威胁的特殊性在于
：

微软允许组织通过订阅策略阻止访客转移订阅至其租户。建议采取以下措施 ：

BeyondTrust身份安全洞察产品可自动标记访客创建的订阅，提供异常行为可视化能力。

访客订阅入侵事件揭示了现代企业环境中被忽视的身份安全弱点。B2B信任模型
、继承的计费权限和动态角色意味着每个账户都可能成为权限提升的跳板。建议企业重新审视访客访问策略 、可视化工具和订阅治理模型 。

最新评论