SchwachstellenCloud-SicherheitKI-Sicherheit

Kritische Sicherheitslücke in Microsoft Entra ID: KI-Agent-Rolle ermöglichte vollständige Übernahme von Service Principals

Von CyberDeutsch Redaktion
Kritische Sicherheitslücke in Microsoft Entra ID: KI-Agent-Rolle ermöglichte vollständige Übernahme von Service Principals
Zusammenfassung

Microsoft hat eine kritische Sicherheitslücke in seiner Cloud-Identitätsverwaltungslösung Entra ID gepatcht, die es Angreifern ermöglicht hätte, Service Principals zu übernehmen und damit erhebliche Privilegien in Organisationen zu erlangen. Die Schwachstelle betraf die Rolle „Agent ID Administrator", die speziell für die Verwaltung von KI-Agenten konzipiert wurde. Ein Benutzer mit dieser Rolle konnte beliebige Service Principals als Eigentümer übernehmen und eigene Anmeldedaten hinzufügen – ohne auf diese beschränkt zu sein. Dies hätte zu vollständiger Übernahme führen können, besonders wenn die betroffenen Service Principals mit erweiterten Berechtigungen ausgestattet waren. Entdeckt wurde die Lücke vom Sicherheitsunternehmen Silverfort; Microsoft rollte den Patch am 9. April 2026 aus. Für deutsche Unternehmen und Behörden, die Microsoft-Cloud-Dienste nutzen, ist dies relevant: Sie sollten ihre privilegierten Rollen überprüfen, die Nutzung von Agent ID Administrator monitoren und Service Principal-Änderungen nachverfolgbar machen. Die Sicherheitslücke unterstreicht die wachsenden Herausforderungen bei der Verwaltung von Nicht-Human-Identitäten im Zeitalter von KI-Agenten und verdeutlicht, wie schnell neue Funktionen zu Sicherheitsrisiken führen können, wenn die Berechtigungen nicht ausreichend eingeschränkt sind.

Die Sicherheitslücke offenbarte ein grundsätzliches Architektur-Problem bei der Implementierung neuer Identitätstypen in Entra ID. Die “Agent ID Administrator”-Rolle war als privilegierte Systemrolle konzipiert worden, um die gesamte Identitäts-Lebenszyklusverwaltung von KI-Agenten in einem Mandanten zu handhaben. Diese Rolle sollte es Administratoren ermöglichen, KI-Agenten sicher zu authentifizieren und ihnen Zugriff auf notwendige Ressourcen zu gewähren.

Doch wie Sicherheitsforscherin Noa Ariel von Silverfort feststellte, war die Berechtigung viel zu breit gefasst: Nutzer mit dieser Rolle konnten nicht nur Agent-bezogene Service Principals, sondern beliebige Service Principals im Tenant übernehmen, indem sie sich selbst als Eigentümer eintrugen und anschließend neue Anmeldedaten hinzufügten. Dies ermöglichte vollständige Service-Principal-Übernahmen und damit einen direkten Privilege-Escalation-Pfad – insbesondere in Umgebungen mit hochprivilegierten Service Principals.

Die Auswirkungen waren erheblich: Ein kompromittierter Service Principal mit erweiterten Verzeichnis-Rollen oder hochproblematischen Microsoft-Graph-Berechtigungen hätte einem Angreifer potentiell Kontrolle über den gesamten Tenant gewähren können. Dies umfasst Zugriff auf sensitive Daten, Manipulation von Benutzerkonten und möglicherweise auch Lateral Movement zu weiteren Systemen.

Nach verantwortungsvoller Disclosure am 1. März 2026 rollte Microsoft den Patch global aus. Seitdem werden Versuche, Nicht-Agent-Service Principals mit der Agent ID Administrator-Rolle zu übernehmen, mit einer “Forbidden”-Fehlermeldung blockiert.

Silverfort betont, dass dieser Vorfall die Notwendigkeit deutlich macht, Rollenrechte und Berechtigungen streng zu scopieren – insbesondere bei neuen Identitätstypen, die auf bestehenden Fundamenten aufbauen. Für Administratoren empfiehlt sich eine sofortige Überprüfung von Service-Principal-Ownerships, Audit-Logs von Credential-Änderungen und eine Sicherung hochprivilegierter Service Principals. Der Vorfall unterstreicht, dass die Sicherheit von AI-Agenten und Non-Human-Identities kritische Aufmerksamkeit erfordert.

Ähnliche Artikel