Microsoft Entra IDに重大なセキュリティリスク 特権昇格の危険性：セキュリティニュースアラート

SemperisはMicrosoft Entra IDに特定のアプリケーションの特権アクションが許可されていることを報告した。これによって特権ロールへの追加や削除が可能であり、特権昇格の危険性があるとされている。

[後藤大地，有限会社オングス]

　Semperisは2024年8月7日（現地時間）、「Microsoft Entra ID」（以下、Entra ID）に重大なセキュリティリスクがあると報告した。特定のMicrosoftアプリケーションにおいて、通常は許可されていない特権アクションを実行できることが明らかにされている。Entra IDのグローバル管理者ロールを含む特権ロールへのユーザーの追加や削除が可能である点が最も懸念されており、特権昇格の危険性があることが指摘されている。

特定のMicrosoftアプリケーションで不適切なアクセス許可が許される

　この問題は、MicrosoftのOAuth 2.0スコープ（アクセス許可）の不備に起因している。OAuth 2.0はアプリケーションがユーザーの認証情報を直接共有することなく限定的なアクセス権を取得できるようにするための認証プロトコルだが、このプロトコルで一部のMicrosoftアプリケーションが制御を超えて動作することが確認されている。さらにそれらのMicrosoftアプリケーションに権限リストに定義されていない特定のアクションの実行が許可されていたことが判明した。

　特にデバイス登録サービスでグローバル管理者ロールへのユーザー追加が許可されていることが注目されている。通常、グローバル管理者ロールへのユーザー追加は厳密に制御されるべきだが、この脆弱（ぜいじゃく）性を悪用することで低権限のユーザーが特権ユーザーに昇格されてしまう可能性がある。さらに攻撃者が権限を永続化させる手段を設け、「Microsoft 365」や「Microsoft Azure」、さらには他のSaaSアプリケーションへ横方向に移動するリスクがあることも懸念されている。

　Microsoftはこの脆弱性に対して迅速に対応し、問題のあるアプリケーションでの資格情報の使用を制限する措置を講じている。しかし、この欠陥が発覚する前に脅威アクターに悪用されたかどうかは不明であり、各組織に対して過去のログを確認するとともに不正アクセスの兆候を確認するよう推奨している。具体的にはEntra ID監査ログをチェックし、デバイス登録サービスによる特権アクションの証拠を探すことが推奨されている。