Una función administrativa destinada a agentes de inteligencia artificial (IA) dentro de Microsoft Entra ID podría permitir ataques de escalada de privilegios y adquisición de identidad, según nuevos hallazgos de Silverfort.
Administrador de ID de agente es una función integrada privilegiada introducida por Microsoft como parte de su plataforma de identidad de agente para manejar todos los aspectos de las operaciones del ciclo de vida de identidad de un agente de IA en un inquilino. La plataforma permite a los agentes de IA autenticarse de forma segura y acceder a los recursos necesarios, así como descubrir otros agentes.
Sin embargo, la deficiencia descubierta por la plataforma de seguridad de identidad significó que los usuarios a los que se les asignó la función de administrador de ID de agente podían asumir entidades de servicio arbitrarias, incluidas aquellas que van más allá de las identidades relacionadas con los agentes, al convertirse en propietarios y luego agregar sus propias credenciales para autenticarse como esa entidad principal.
«Eso es una adquisición principal de servicio completo», dijo la investigadora de seguridad Noa Ariel. «En los inquilinos donde existen entidades de servicio con altos privilegios, se convierte en una ruta de escalada de privilegios».
Esta propiedad de una entidad de servicio abre efectivamente la puerta a un atacante para operar dentro del alcance de sus permisos existentes. Si la entidad de servicio objetivo tiene permisos elevados (particularmente roles de directorio privilegiados y permisos de aplicaciones Graph de alto impacto) puede darle al atacante un control más amplio sobre el inquilino.
Tras la divulgación responsable el 1 de marzo de 2026, Microsoft implementó un parche en todos los entornos de nube para remediar la extralimitación del alcance el 9 de abril. Después de la solución, cualquier intento de asignar propiedad sobre entidades principales de servicio que no sean agentes utilizando la función de administrador de ID de agente ahora está bloqueado y genera un mensaje de error «Prohibido».
Silverfort señaló que el problema arquitectónico resalta la necesidad de validar cómo se asignan los roles y se aplican los permisos, especialmente cuando se trata de componentes de identidad compartidos y se construyen nuevos tipos de identidad sobre las bases de las primitivas existentes.
Para mitigar la amenaza que representa este riesgo, se recomienda a las organizaciones que supervisen el uso de roles confidenciales, en particular aquellos relacionados con la propiedad principal del servicio o los cambios de credenciales, realicen un seguimiento de los cambios en la propiedad principal del servicio, aseguren los principales de servicio privilegiados y auditen la creación de credenciales en los principales de servicio.
«Las identidades de los agentes son parte de un cambio más amplio hacia identidades no humanas, construidas para la era de los agentes de IA», señaló Ariel. «Cuando los permisos de roles se aplican sobre bases compartidas sin un alcance estricto, el acceso puede extenderse más allá de lo que se pretendía originalmente. En este caso, esa brecha condujo a un acceso más amplio, especialmente cuando estaban involucrados principios de servicio privilegiados».
«Además, el riesgo general está influenciado por la postura de los inquilinos, particularmente en torno a los principales de servicios privilegiados, donde el abuso de propiedad sigue siendo una ruta de ataque bien conocida e impactante».
