在当今数字化办公环境中,微软Entra ID(前称Azure Active Directory)被广泛用作企业身份管理的基石,特别是在跨组织的B2B合作场景中。Entra ID通过允许访客账户访问资源tenant,便于协作和信息共享。然而,近期安全研究揭示了一种隐藏较深、极具破坏力的风险——访客用户通过订阅迁移与创建实现权限提升,进而控制目标企业的关键资源。 这一风险源于微软Entra中订阅管理权限的设计特性。传统安全团队通常关注Entra目录角色(如全局管理员)和Azure角色访问控制(RBAC)中的资源访问权限。然而,一类关键的“计费角色”经常被忽略:计费角色被绑定在帐单账户层面,而非Entra目录。
通过利用计费角色,访客用户可以在其自属租户创建新的Azure订阅,并将该订阅转移至被邀请的目标租户,同时保持订阅拥有者身份。这种订阅迁移的权限边界外延造就了意想不到的后门漏洞。 具体操作方式如下。攻击者首先控制一个拥有计费权限的Azure用户账户。该账户可由攻击者自行通过Azure免费试用注册,或通过入侵现有企业账户获取。随后,攻击者以该用户身份被邀请为目标企业的访客账户。
登录Azure门户后,攻击者选择创建新的Azure订阅,通过“高级”选项将目标企业的目录指定为新的订阅归属。结果是订阅物理存在于目标企业订阅体系之下,且攻击者自动成为该订阅的Owner。如此一来,原本仅被视为访问有限的访客用户,变相获得了重大权限提升,在目标租户拥有了极高的控制力。 取得订阅所有权后,攻击者就具备了多项潜在危害操作能力。首先,他们能够查看该订阅内的访问控制策略,间接获知目标目录中高权限管理员的身份信息,为后续社工或入侵做准备。其次,攻击者能够修改或者禁用与该订阅相关联的Azure安全策略和合规策略,从而掩盖恶意活动的踪迹,使安全告警无法及时响应。
除此之外,攻击者还能在该订阅中创建用户管理的托管身份(User-Managed Identity),这类身份不依赖于访客用户自身,具备长期存在的潜力,并能被赋予额外的权限,极大提升了潜伏及横向移动的难度。 更为隐蔽的是,攻击者还可能利用该订阅注册设备并将其加入Entra ID目录,借助条件访问策略向动态设备组中注入恶意设备,骗取被信任设备访问权限,这种攻击方式代表动态组滥用的新变种,令企业防御更加复杂。攻击者注册的设备可能看似合规,自动获批访问企业敏感资源,造成更多权限泄露与数据风险。 造成此安全隐患的根本原因是B2B合作环境中,访客用户的安全边界和权限控制原理与主租户用户存在差异。Entra ID支持跨租户身份联合认证,访客账户一般通过其本地租户进行身份验证,目标租户难以对身份认证如多重认证(MFA)实施强制。企业普遍将访客账户视为风险较低的临时访问实体,疏于审查访客用户的真实权限,尤其忽略访客用户持有计费账户或订阅所有权的隐藏权限。
针对这一攻击面,常见的企业安全防护模型并未涵盖对计费角色和订阅跨租户迁移的监控,因此访客用户借助该漏洞的攻击行动往往潜伏在安全监控视野之外,难以被及时发现与阻止。这使得攻击者能长期在企业环境持久潜伏,进行信息搜集、权限扩展及后门建设,对企业信息安全构成巨大威胁。 针对这一复杂安全挑战,微软已推出可配置订阅策略以阻止未经授权的订阅迁入,管理员可限定只有特定用户才被允许创建或迁移订阅进入自己的租户。企业应积极启用此类策略,减少访客账户恶意创建订阅的可能性。同时,企业安全团队务必开展对所有访客账户的全面审计,删除不必要的访客身份,关闭访客对其他访客的邀请权限,强化租户访问边界。 此外,建议在Azure门户中建立针对订阅创建和权限变更的实时监控与告警机制,尤其关注非标准或异常订阅的出现,结合安全中心的警报及时响应。
企业还应关注设备接入管理,特别是动态设备组规则对设备的自动权限赋予,避免恶意设备借助规则漏洞恶意获得访问权。 安全厂商BeyondTrust开发的Identity Security Insights工具可为企业提供基于身份的安全洞察,自动发现访客账户创建的订阅,提升可视化水平,帮助安全团队识别潜在风险点,强化Entra ID环境的安全防护。 从更广泛的视角看,访客账户订阅漏洞是现代企业身份管理中众多配置失误中的一个典型案例。身份和访问管理不再仅仅是关注管理员账户与核心用户账户,随着B2B多方信任模型的扩展,访客、计费权限继承和动态分配等新兴技术引入了复杂的风险链条。企业必须全面审查和完善身份访问政策,将每一个账户视为潜在的攻击面,加强对身份权限的持续监测与治理。 强化身份管理安全不仅有助于阻止当前上述订阅所有权漏洞导致的攻击,同样能够防止未来因配置失误引发的其他多种身份及权限相关安全事件。
利用先进的风险评估工具,企业可以对现有身份结构实施深度扫描,识别隐匿风险,制定针对性修复计划。 总结而言,微软Entra拥有强大身份管理与合作资源共享优势,但其访客账户计费角色权限设计中蕴藏的订阅迁移风险,是企业不可忽视的安全盲点。通过理解该攻击机理,采取合理策略禁止访客恶意迁入订阅,加强访问权限与设备管理,并借助专业安全工具加强监控,企业能有效遏制该威胁,为业务连续性构筑坚实防线。面对快速变化的身份安全环境,持续关注与深化身份风险治理,将成为保障数字化转型安全的关键所在。
