访客用户订阅权限漏洞解析
微软Entra ID的订阅管理存在访问控制缺陷,允许访客用户在受邀租户中创建和转移订阅,同时保留对这些订阅的完全所有权。访客用户只需具备在源租户创建订阅的权限,以及受邀成为外部租户访客的身份即可实施此操作。这种隐蔽的权限提升策略使访客用户能够在仅应拥有有限访问权限的环境中获取特权立足点。
多数企业基于临时性和有限访问特性将访客账户视为低风险,但这一设计行为却为攻击者打开了已知的攻击路径和资源租户内的横向移动通道。威胁行为者可能借此在防御方的Entra ID中实现未授权侦察和持久化驻留,并在特定场景下推进权限提升。
访客账户如何攻陷Entra ID租户
访客创建订阅的漏洞利用源于微软计费权限(企业协议或微软客户协议)作用于计费账户而非Entra目录这一特性。安全团队通常关注Entra目录角色(如全局管理员)或Azure RBAC角色(如所有者),却往往忽视计费角色的存在。
当B2B访客用户受邀加入资源租户时,他们通过源租户的身份验证进行访问。这种节省成本的机制导致目标租户无法强制执行多因素认证(MFA)等验证控制。若访客在其源租户拥有有效计费角色,便可成为Azure内部的订阅所有者。
攻击者甚至可以利用按需付费的Azure租户(数分钟即可创建)中的访客账户实施攻击。默认情况下,包括访客在内的任何用户均可邀请外部用户加入目录,这意味着攻击者可利用被入侵账户邀请具有计费权限的用户进入目标环境。
攻击者利用非特权访客账户提权步骤
- 攻击者通过以下方式获取具有创建订阅权限的计费角色用户控制权:
- 使用Azure免费试用创建自己的Entra租户(注册用户将成为计费账户所有者)
- 入侵已具备计费角色/订阅所有权的现有用户账户
- 获取目标Entra租户的访客用户邀请(默认任何用户均可发起邀请)
- 登录Azure门户并进入完全控制的源目录
- 导航至"订阅>添加"功能
- 切换至"高级"选项卡,将防御方目录设为目标目录
- 创建订阅(该订阅将出现在防御方租户的根管理组下)
- 攻击者自动获得该订阅的"所有者"RBAC角色
现实风险:恶意访客的订阅滥用场景
攻击者获取其他组织租户内的订阅所有者权限后,可实施以下通常受角色限制的操作:
- 列举根管理组管理员:通过创建的订阅查看"访问控制"角色分配,暴露高价值特权账户列表
- 削弱关联订阅的默认Azure策略:修改或禁用安全策略,消除违规警报
- 创建用户托管身份:建立独立于原访客账户的持久化身份,获取跨订阅权限
- 注册Entra加入设备并滥用条件访问策略:伪造合规企业设备,获取受信资产访问权
访客订阅创建为何成为Entra安全新隐患
BeyondTrust研究人员已观测到攻击者实际滥用访客订阅创建功能的情况。该威胁的特殊性在于:
- 超出多数Azure管理员对访客能力的预期认知
- 未被典型Entra威胁模型涵盖
- 在B2B场景中尤为普遍(源租户与资源租户分属不同组织)
缓解措施:阻断访客订阅立足点
微软允许组织通过订阅策略阻止访客转移订阅至其租户。建议采取以下措施:
- 审计并清理冗余访客账户
- 强化访客控制(如禁用访客间邀请)
- 定期检测异常访客创建的订阅和资源
- 监控Azure门户所有安全中心警报
- 审计设备访问(特别是使用动态组规则的情况)
BeyondTrust身份安全洞察产品可自动标记访客创建的订阅,提供异常行为可视化能力。
深层思考:身份配置错误成为新型漏洞
访客订阅入侵事件揭示了现代企业环境中被忽视的身份安全弱点。B2B信任模型、继承的计费权限和动态角色意味着每个账户都可能成为权限提升的跳板。建议企业重新审视访客访问策略、可视化工具和订阅治理模型。