訪客用戶訂閱權限漏洞解析
微軟Entra ID的訂閱管理存在訪問控制缺陷,允許訪客用戶在受邀租戶中創建和轉移訂閱,同時保留對這些訂閱的完全所有權。訪客用戶只需具備在源租戶創建訂閱的權限,以及受邀成為外部租戶訪客的身份即可實施此操作。這種隱蔽的權限提升策略使訪客用戶能夠在僅應擁有有限訪問權限的環境中獲取特權立足點。
多數企業基于臨時性和有限訪問特性將訪客賬戶視為低風險,但這一設計行為卻為攻擊者打開了已知的攻擊路徑和資源租戶內的橫向移動通道。威脅行為者可能借此在防御方的Entra ID中實現未授權偵察和持久化駐留,并在特定場景下推進權限提升。
訪客賬戶如何攻陷Entra ID租戶
訪客創建訂閱的漏洞利用源于微軟計費權限(企業協議或微軟客戶協議)作用于計費賬戶而非Entra目錄這一特性。安全團隊通常關注Entra目錄角色(如全局管理員)或Azure RBAC角色(如所有者),卻往往忽視計費角色的存在。
當B2B訪客用戶受邀加入資源租戶時,他們通過源租戶的身份驗證進行訪問。這種節省成本的機制導致目標租戶無法強制執行多因素認證(MFA)等驗證控制。若訪客在其源租戶擁有有效計費角色,便可成為Azure內部的訂閱所有者。
攻擊者甚至可以利用按需付費的Azure租戶(數分鐘即可創建)中的訪客賬戶實施攻擊。默認情況下,包括訪客在內的任何用戶均可邀請外部用戶加入目錄,這意味著攻擊者可利用被入侵賬戶邀請具有計費權限的用戶進入目標環境。
攻擊者利用非特權訪客賬戶提權步驟
- 攻擊者通過以下方式獲取具有創建訂閱權限的計費角色用戶控制權:
- 使用Azure免費試用創建自己的Entra租戶(注冊用戶將成為計費賬戶所有者)
- 入侵已具備計費角色/訂閱所有權的現有用戶賬戶
- 獲取目標Entra租戶的訪客用戶邀請(默認任何用戶均可發起邀請)
- 登錄Azure門戶并進入完全控制的源目錄
- 導航至"訂閱>添加"功能
- 切換至"高級"選項卡,將防御方目錄設為目標目錄
- 創建訂閱(該訂閱將出現在防御方租戶的根管理組下)
- 攻擊者自動獲得該訂閱的"所有者"RBAC角色
現實風險:惡意訪客的訂閱濫用場景
攻擊者獲取其他組織租戶內的訂閱所有者權限后,可實施以下通常受角色限制的操作:
- 列舉根管理組管理員:通過創建的訂閱查看"訪問控制"角色分配,暴露高價值特權賬戶列表
- 削弱關聯訂閱的默認Azure策略:修改或禁用安全策略,消除違規警報
- 創建用戶托管身份:建立獨立于原訪客賬戶的持久化身份,獲取跨訂閱權限
- 注冊Entra加入設備并濫用條件訪問策略:偽造合規企業設備,獲取受信資產訪問權
訪客訂閱創建為何成為Entra安全新隱患
BeyondTrust研究人員已觀測到攻擊者實際濫用訪客訂閱創建功能的情況。該威脅的特殊性在于:
- 超出多數Azure管理員對訪客能力的預期認知
- 未被典型Entra威脅模型涵蓋
- 在B2B場景中尤為普遍(源租戶與資源租戶分屬不同組織)
緩解措施:阻斷訪客訂閱立足點
微軟允許組織通過訂閱策略阻止訪客轉移訂閱至其租戶。建議采取以下措施:
- 審計并清理冗余訪客賬戶
- 強化訪客控制(如禁用訪客間邀請)
- 定期檢測異常訪客創建的訂閱和資源
- 監控Azure門戶所有安全中心警報
- 審計設備訪問(特別是使用動態組規則的情況)
BeyondTrust身份安全洞察產品可自動標記訪客創建的訂閱,提供異常行為可視化能力。
深層思考:身份配置錯誤成為新型漏洞
訪客訂閱入侵事件揭示了現代企業環境中被忽視的身份安全弱點。B2B信任模型、繼承的計費權限和動態角色意味著每個賬戶都可能成為權限提升的跳板。建議企業重新審視訪客訪問策略、可視化工具和訂閱治理模型。
)
)
圖形添加紋理)
