Hackers Exploit Agent ID Administrator Role to Hijack Service Principals
2026/04/24 gbhackers — Microsoft Entra ID の新機能 Agent Identity Platform において、深刻なスコープ制御不備の脆弱性が発見された。Agent ID Administrator ロールが割り当てられたユーザーが、この脆弱性を悪用すると、組織テナント全体にわたる任意のサービス・プリンシパルを乗っ取ることが可能となり、権限昇格につながるリスクが生じていた。このロールは、AI エージェント ID の管理のために設計されていたが、境界制御の不備により非エージェントのサービス・プリンシパルも操作可能な状態となっていた。現時点においては、すべてのクラウド環境で、Microsoft による修正が完了している。
Continue reading “Microsoft Entra ID Agent ID Admin ロールの悪用:サービス・プリンシパル乗っ取りの恐れ”
IoT OT Security News 