كشفت شركة Silverfort عن ثغرة أمنية في منصة الهوية Microsoft Entra ID مرتبطة بدور إداري جديد يسمى Agent ID Administrator، والذي أُنشئ لإدارة دورة حياة هويات الوكلاء (AI Agents) داخل المستأجر.
المشكلة أن هذا الدور كان يمنح المستخدمين القدرة على الاستيلاء على Service Principals بشكل كامل، بما في ذلك تلك غير المرتبطة بالوكلاء، عبر تعيين أنفسهم كمالكين ثم إضافة بيانات اعتمادهم الخاصة، مما يتيح لهم المصادقة كأنهم ذلك الـ Service Principal.
خطورة الاستغلال
هذا النوع من الاستيلاء يفتح الباب أمام المهاجمين للعمل ضمن نطاق الأذونات الممنوحة لذلك الـ Service Principal. وإذا كان الهدف يمتلك صلاحيات مرتفعة مثل أدوار الدليل المميزة أو أذونات تطبيقات Graph عالية التأثير، فإن ذلك يؤدي إلى تصعيد خطير في الامتيازات والسيطرة على المستأجر بالكامل.
الباحثة Noa Ariel وصفت الأمر بأنه “استيلاء كامل على الـ Service Principal”، مؤكدة أن وجود مثل هذه الثغرات في بيئات تحتوي على هويات عالية الامتياز يشكل مسارًا مباشرًا لتصعيد الصلاحيات.
استجابة مايكروسوفت
بعد الإبلاغ المسؤول في 1 مارس 2026، أصدرت مايكروسوفت إصلاحًا شاملاً في 9 أبريل عبر جميع بيئات السحابة. التحديث يمنع أي محاولة لتعيين ملكية على Service Principals غير المرتبطة بالوكلاء باستخدام دور Agent ID Administrator، ويؤدي إلى ظهور رسالة Forbidden عند المحاولة.
هذا الإجراء أغلق فجوة في نطاق الأذونات كانت تسمح بتجاوز غير مقصود.
توصيات للمؤسسات
ينصح الخبراء المؤسسات باتخاذ خطوات وقائية إضافية، منها:
- مراقبة استخدام الأدوار الحساسة، خصوصًا تلك المتعلقة بملكية الـ Service Principals أو تغيير بيانات الاعتماد.
- تتبع تغييرات الملكية على الـ Service Principals.
- تأمين الـ Service Principals المميزة.
- تدقيق عمليات إنشاء بيانات الاعتماد المرتبطة بها.
دلالات أوسع
الثغرة تسلط الضوء على التحديات المرتبطة بالهويات غير البشرية (مثل هويات الوكلاء في عصر الذكاء الاصطناعي)، حيث أن تطبيق الأذونات على أسس مشتركة دون ضبط صارم للنطاق قد يؤدي إلى وصول غير مقصود يتجاوز ما كان مخططًا له.
كما أن الوضع الأمني للمستأجر، خاصة فيما يتعلق بالـ Service Principals المميزة، يظل عاملًا مؤثرًا في حجم المخاطر، إذ أن إساءة استخدام الملكية تبقى مسارًا معروفًا وفعالًا للهجمات.
