ثغرة أمنية في دور مسؤول هوية وكيل Microsoft Entra ID، المصمم لإدارة هويات وكلاء الذكاء الاصطناعي، قد تسمح بتصعيد الامتيازات. وفقًا لـ Silverfort، يمنح هذا الدور أذونات مفرطة يمكن للمهاجم استغلالها لتعديل بيانات الاعتماد، أو تعيين أدوار إضافية، أو انتحال هوية كيان خدمة، مما يعرض حسابات الخدمة الحرجة للخطر.
أذونات مفرطة تفتح الباب للانتحال 🔓
يشرح تقرير Silverfort أن الدور يسمح بتعديل مفاتيح وشهادات كيانات الخدمة، بالإضافة إلى تعيين أدوار مثل مسؤول التطبيقات أو مسؤول الهوية المختلطة. وهذا يسهل على المهاجم السيطرة على هوية وكيل ذكاء اصطناعي، والتحرك جانبيًا عبر الشبكة، والوصول إلى الموارد الحساسة. جذر المشكلة هو أن الدور لا يتبع مبدأ الامتياز الأدنى، وهو خطأ في التصميم يحول أداة إدارية إلى ناقل هجوم.
البوت الذي أراد أن يكون مسؤولًا عالميًا 🤖
يبدو أن Microsoft أعطت وكيل الذكاء الاصطناعي الخاص بها بطاقة وصول كاملة، كما لو كان البوت بحاجة إلى مفاتيح المملكة لأداء عمله. الآن، يمكن لأي مهاجم لديه وصول أن يطلب من الوكيل إقراضه بيانات اعتماده، والمسكين لا يعرف كيف يقول لا. في النهاية، ما كان يجب أن يكون مساعدًا رقميًا يصبح الشريك المثالي لهجوم إلكتروني، مما يثبت أن الذكاء الاصطناعي أحيانًا يكون واثقًا مثل متدرب في أول يوم له.